重要提醒:下载并安装 Magento 安全补丁。(没有 SSH 访问权限的 FTP)

magento.stackexchange https://magento.stackexchange.com//questions/63858

Magento 安全补丁看起来像 .sh 文件,如果没有 SSH 访问其 Magento 安装的人将如何应用这些补丁?

另外,这些补丁是累积的吗?IE:它们会包含在 Magento 的未来版本中还是需要重新应用?

我问这个问题是因为我登录了管理面板并收到了严重的安全警告:

下载并实施 2 个重要的安全补丁(SUPEE-5344SUPEE-1533)来自 Magento 社区版下载页面(https://www.magentocommerce.com/products/downloads/magento/).

如果您还没有这样做,请下载并安装 2 个之前发布的补丁,以防止攻击者在 Magento 软件上远程执行代码。这些问题影响 Magento Community Edition 的所有版本。

Check Point Software Technologies 未来几天发布的新闻稿将使其中一个问题广为人知,可能会提醒可能试图利用该问题的黑客。在问题公开之前,确保补丁已到位作为预防措施。

截至 2015 年 5 月 14 日:

下载并安装新的安全补丁对您来说很重要(SUPEE-5994)来自 Magento 社区版下载页面(https://www.magentocommerce.com/products/downloads/magento/)。请立即应用此重要更新,以帮助保护您的站点免受影响 Magento 社区版软件所有版本的多个安全漏洞的影响。请注意,除了最近的 Shoplift 补丁 (SUPEE-5344) 之外,还应安装此补丁。

我还收到了以下电子邮件:

亲爱的 Magento 商家,

为了进一步保护 Magento 平台免受潜在攻击,我们今天发布了一个包含多个关键安全修复程序的新补丁 (SUPEE-5994)。该补丁解决了一系列问题,包括攻击者可以访问客户信息的情况。这些漏洞是通过我们的多点安全计划收集的,我们尚未收到有关商家或其客户受到这些问题影响的报告。

Magento Community Edition 软件的所有版本都会受到影响,我们强烈建议您与解决方案合作伙伴或开发人员合作,立即部署此关键补丁。请注意,除了最近的 Shoplift 补丁 (SUPEE-5344) 之外,还应安装此补丁。有关安全问题的更多信息,请参阅 Magento 社区版用户指南的附录。

您可以从社区版下载页面下载补丁。查找 SUPEE-5994 补丁。该补丁适用于社区版 1.4.1–1.9.1.1。

请务必先在开发环境中实施和测试补丁,以确认其按预期工作,然后再将其部署到生产站点。有关在 Magento Community Edition 上安装补丁的信息可在线获取。

感谢您对这个问题的关注。

2015 年 7 月 7 日更新

2015 年 7 月 7 日:新的 Magento 安全补丁 (SUPEE-6285) – 立即安装
今天我们提供了一个新的安全补丁(SUPEE-6285),解决关键的安全漏洞。该补丁适用于社区版 1.4.1 至 1.9.1.1,并且是我们最新版本社区版 1.9.2 核心代码的一部分,现已可供下载。请注意:你必须首先实施 SUPEE-5994 确保 SUPEE-6285 工作正常。从社区版下载页面下载社区版 1.9.2 或补丁: https://www.magentocommerce.com/products/downloads/magento/

2015 年 8 月 4 日更新

2015 年 8 月 4 日:新的 Magento 安全补丁 (SUPEE-6482) – 立即安装
今天我们提供了一个新的安全补丁(SUPEE-6482)解决了 4 个安全问题;两个与 API 相关的问题和两个跨站点脚本风险。该补丁适用于社区版 1.4 及更高版本,并且是社区版 1.9.2.1 核心代码的一部分,现已可供下载。在实施此新的安全补丁之前,您必须首先实施所有以前的安全补丁。从社区版下载页面下载社区版 1.9.2.1 或补丁: https://www.magentocommerce.com/products/downloads/magento/

2015 年 10 月 27 日更新

2015 年 10 月 27 日:新的 Magento 安全补丁 (SUPEE-6788) – 立即安装
今天,我们发布了一个新补丁(SUPEE-6788)和社区版1.9.2.2/企业版1.14.2.2解决了10多个安全问题,包括远程代码执行和信息泄露漏洞。此补丁与 Guruincsite 恶意软件 问题。请务必首先在开发环境中测试补丁,因为它可能会影响扩展和自定义。从社区版下载页面/企业版支持门户下载补丁并了解更多信息 http://magento.com/security/patches/supee-6788.

2016 年 1 月 20 日更新

重要的:新的安全补丁(SUPEE-7405)并发布 – 2016 年 1 月 20 日
今天,我们发布了一个新补丁(SUPEE-7405)和社区版 1.9.2.3/企业版 1.14.2.3 提高 Magento 站点的安全性。目前尚未确认与安全问题相关的攻击,但某些漏洞可能会被利用来访问客户信息或接管管理员会话。您可以从社区版下载页面/MyAccount 下载补丁并发布,并了解更多信息 https://magento.com/security/patches/supee-7405.

2016 年 2 月 23 日更新

SUPEE7405 补丁的更新版本现已推出。更新增加了对PHP 5.3的支持,并通过上传文件权限,合并购物车和肥皂API与原始版本相关的问题。它们不解决任何新的安全问题。您可以下载补丁并从社区版中发布下载页面/myaccount,并在 https://magento.com/security/patches/supee-7405.

有帮助吗?

解决方案

在没有 SSH 访问权限的情况下手动应用补丁

你的观点很好。补丁提供为 .sh 文件,并且 Magento 没有为仅 FTP 网站提供解决方案。

我建议您通过 FTP 将其网站的代码复制到本地环境(您可能已经有了)。然后通过运行以下命令应用补丁 .sh 文件。

现在您需要找出需要再次上传哪些文件。如果你想打开 .sh 补丁文件,然后你会看到它由两部分组成:

  1. 应用补丁的 Bash shell 代码。该代码对于每个补丁都是通用的。
  2. 实际的补丁形式为 统一补丁格式. 。这仅指示文件中已更改的行(包括一些上下文行)。这从线下开始 __PATCHFILE_FOLLOWS__

从第二部分您可以了解哪些文件受到补丁的影响。您需要将这些文件再次上传到您的 FTP 或...你可以上传所有内容。

无需 bash/shell 手动应用

  1. 如果你跑不了 .sh 文件(在 Windows 中),然后您可以提取补丁的第二部分( 统一补丁)并手动应用它 用修补工具 (或者例如通过 PHPStorm).
  2. 网站 Magentary.com 为每个 Magento 版本提供仅包含修补文件的 ZIP 文件。

当前和未来版本中的补丁?

目前发布的补丁适用于所有已经发布的版本。当然,Magento 可能会发布新版本(主要版本或次要版本)。然后它们将包含所有安全补丁,因为 Magento 也会自然地将补丁应用到其开发代码库(这些补丁甚至源自该代码库;))。

更新:
每个最新补丁 Magento 还发布了新版本的 Magento CE 和 EE,其中已经包含特定的最新补丁。请参阅 发布档案 选项卡上的 Magento 下载页面.

检查此表,由 JH 维护,了解要为哪个 Magento CE 和 EE 版本安装哪些补丁: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

其他提示

不幸的是,没有“轻松”的方式在没有Shell Access的情况下安装这些补丁,但有两种方法可以做到这一点。

通过PHP安装补丁

  1. 使用FTP客户端将特定修补程序上传到Magento文件夹的根目录。
  2. 创建一个名为applypatch.php的php文件,该文件将为您运行修补程序,并将其上传到Magento文件夹的根目录。如果不使用版本1.8.x-1.9.x
    3. ,请务必在此处使用正确的修补程序名称 

    <?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>
    g

    1. 访问 http://your.domain.com/applypatch.php ,检查输出看起来正常。

      2. 手动安装补丁

      .sh文件包含'diff'修补程序。这些显示已删除并添加了哪条线。虽然我不建议它,但您应该能够通过FTP手动下载文件,并在您的编辑器中编辑这些文件,然后通过FTP再次重新登录它们。 这种格式对解释,所以你可以为所有文件做到这一点,不应该花更多的时间几分钟。

在我的情况下,我使用Bitbucket for Version Veainse,并仅通过Bitbucket实现我的更改。

所以我在应用补丁时做的是,在我的本地系统中应用该修补程序并测试所有内容。我的网站正在工作。

并将所有chnages推到Bitbucket,在实时站点上拉所有更改和我的补丁。

如果您没有ssh访问权限是

1)在本地应用补丁并将更改推向Bitbucket。Bitbucket告诉您,从上次提交中更改了哪些文件。

2)通过FTP手动上传这些文件,应用补丁。

通过ftp / sftp或filemanager /文件上传应用magento补丁。

方法1: -

以这种方式应用修补程序,我们只需替换更改的文件。如果您或您的开发人员更改了任何核心Magento文件(顺便说一下,这不能盲目地使用这种方式。应重新应用于修补的文件,或者松开这些更改。

请访问以下URL以下载以下修补程序: -

https://magentary.com/kb/install-supee- 9652-FLE-SSH /

https://magentary.com/kb/install-supee- 8788-FLE-SSH /

https://magentary.com/kb/install-supee- 7405-ids-ssh /

https://magentary.com/kb/install-supee- 6788-FLE-SSH /

http://magentary.com/kb/install-supee- 6482-FLE-SSH /

http://magentary.com/kb/install-supee- 6285-FLE-SSH /

https://magentary.com/kb/install-supee- 5994-FLE-SSH /

https://magentary.com/ KB / Apply-supee-5344-and-supee-1533-ant-ssh /

方法2: -

将补丁文件下载到 https://magento.com/tech-resources/download#download1972 在Magento的根目录上传修补程序文件。

使用patch.php的名称进行一个文件,在其中写下以下代码,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>
.

从浏览器运行patch.php。

如果您收到这样的错误,

“错误!未安装在此SH脚本中使用的一些所需的系统工具;工具”修补程序“是(是)错过,请安装它(它们)。

表示您的服务器中未安装系统工具以运行SH脚本。

我不认为没有SSH访问可能会这样做,但您可以始终在CPANEL或您获得的任何其他面板上创建一个SSH帐户,并且您可能会发现创建SSH帐户的巨大机会由您的托管公司只需谷歌“托管名称+ SSH创建”。

下载补丁程序(实际上只有1个,AS 1是为EE,而另一个用于CE)建议您先快速返回。

cp -r public_html backup (用完整的magento安装替换public_html)

首先将补丁通过 FTP 传输到备份目录,然后在备份上运行它来检查是否一切正常。sh 补丁名.sh

一切都好?将补丁通过 FTP 传输到您的实际安装并运行

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

该指南还建议“将所有权重新申请到该补丁更改的文件:找到网络服务器用户:PS -O“用户组命令” -C HTTPD,Apache2用户列中的值是Web服务器用户名。通常,CentOS 上的 Apache Web 服务器用户是 apache,Ubuntu 上的 Apache Web 服务器用户是 www-data。作为具有 root 权限的用户,从 Magento 安装目录输入以下命令:chown -R 网络服务器用户名 。例如,在ubuntu上,Apache通常以www-data运行,输入chown -r www-data”

将PS命令作为root运行,我只有root作为用户并运行chown -r root并打扰了我的安装,我将其安装的用户帐户的用户名再次运行,所有这些都很好

许可以下: CC-BY-SA归因
scroll top