SUPEE-5344 - يعالج استغلالًا محتملاً لتنفيذ التعليمات البرمجية عن بُعد

magento.stackexchange https://magento.stackexchange.com//questions/57659

سؤال

ما هي التغييرات الرئيسية في الملفات بعد التثبيت؟ التصحيح SUPEE-5344 لماجنتو 1.4.2.0؟أعني أن أي إذن ملفات معينة يغير شيئًا من هذا القبيل ...الرجاء مساعدتي لنفسه.

هل كانت مفيدة؟

المحلول

لا تحتاج إلى فهم ذلك.لا توجد تغييرات في الوظائف وتغييرات واجهة برمجة التطبيقات ليست ذات صلة بنسبة 99.99% على الأقل من المطورين.إذا كنت لا تفهم ذلك، فأنت واحد من هؤلاء.فقط قم بتطبيقه.أذونات الملفات ليست ذات صلة، بقدر ما أرى أنها تمنع إدخال SQL من خلال طلبات معينة لخدمة الويب.

تم تغيير الملفات التالية خصيصًا لـ Magento 1.4:

  • app/code/core/Mage/Admin/Model/Observer.php

    لا تستخدم معلمة URL forwarded للطلبات المحولة، ولكن الملكية internaly_forwarded التي لا يمكن ضبطها من الخارج

  • app/code/core/Mage/Core/Controller/Request/Http.php

    توفير الحروف والمستوطنين لهذه الخاصية

  • lib/Varien/Data/Collection/Db.php

    يزيل field_expr ميزة من شروط الجمع.لقد حاولت استخدام ذلك مرة واحدة ولم يكن مفيدًا كما هو على أي حال.الكود الأساسي لا يستخدمه على أي حال أيضًا.لذلك من الآمن أن نقول إن هذا لن يؤثر على أي ملحقات/تخصيصات.

ملف التصحيح لـ Magento 1.4 حتى 1.5.0.1 هو PATCH_SUPEE-5388_CE_1.4.0.0-1.5.0.1_v1.sh (لاحظ أن الرقم هو 5388, ، ولكنه نفس التصحيح 5344 لماجنتو 1.8 و 1.9)

نصائح أخرى

كمثال، تتأثر هذه الملفات في EE 1.13 / 1.14: giveacodicetagpre.

بينما يبدو أن بعض الطبقات المهمة تماما يتم تعديل التغييرات صغيرة جدا ولن تؤثر على معظم المتاجر كما قال Vschmengler. ناقل الهجوم مجمع للغاية ويتطلب مزيج معقد من الإجراءات. فيما يتعلق بالمعروفة لم يتم اختراق أي متجر بعد. وفقا لأرجالتو، يجب عليك التحقق مما إذا كان يمكن العثور على ملفات غير معروفة في دليل جذر مستند خادم الويب. لا يتم تغيير أذونات الملفات

.

هنا قائمة بأسماء الملفات الخاصة بقع مختلفة في حالة الخلط بين شخص ما بسبب رقم التصحيح:

  • ce 1.4.0.x - 1.5.0.x

    patch_supee-5388_CE_1.4.0-1.5،0.1_V1.SH

  • ce 1.5.1.0

    patch_supee-5390_ce_1.5.0_v1.sh

  • ce 1.6.0.x

    patch_supee-5341_ce_1.6.0.0_v1.sh

  • ce 1.6.1.x - 1.6.2.x

    patch_supee-5346_ce_1.6.1.0_v1.sh

  • ce 1.7.x

    patch_supee-5345_CE_1.7.0.2_V1.SH

  • ce 1.8.x - 1.9.x

    patch_supee-5344_CE_1.8.0.0_V1.SH

  • ee 1.7.0.0 - 1.10.0.2

    patch_supee-5388_ee_1.7.0.0_to_1.10.2_v1-2015-02-12-06-15-02.sh

  • ee 1.10.1.x

    patch_supee-5390_ee_1.10.1.x_v1-2015-02-12-06-25-09.sh

  • ee 1.11.0.x

    patch_supee-5341_ee_1.11.0.0_v1-2015-02-10-04-08-59.sh

  • ee 1.11.1.0 - 1.12.1.0

    patch_supee-5346_ee_1.11.0_v1-2015-02-10-04-13-55.sh

  • ee 1.12.0.x

    patch_supee-5345_ee_1.12.0.2_v1-2015-02-10-04-17-49.sh

  • ee 1.13.x - 1.14.x

    patch_supee-5344_ee_1.14.1.0_v1-2015-02-10-04-20-13.sh

    [تحديث] a patch for 1.5.1.0 متوفر الآن.

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى magento.stackexchange
scroll top