SUPEE-5344 - Behebt einen potenziellen Exploit zur Remotecodeausführung

magento.stackexchange https://magento.stackexchange.com//questions/57659

Frage

Was werden die wichtigsten Änderungen in den Dateien nach der Installation von sein aufnäher SUPEE-5344 für Magento 1.4.2.0?Ich meine, dass eine bestimmte Dateiberechtigung so etwas ändert...Bitte helfen Sie mir für das gleiche.

War es hilfreich?

Lösung

Du musst es nicht verstehen.Keine Funktionsänderungen und die API-Änderungen sind für mindestens 99,99% der Entwickler irrelevant.Wenn du es nicht verstehst, bist du einer von denen.Wenden Sie es einfach an.Dateiberechtigungen sind nicht relevant, soweit ich sehe, verhindert es eine SQL-Injection durch bestimmte Anfragen an den Webdienst.

Speziell für Magento 1.4 wurden die folgenden Dateien geändert:

  • app/code/core/Mage/Admin/Model/Observer.php

    URL-Parameter nicht verwenden forwarded für weitergeleitete Anfragen, aber Eigentum internaly_forwarded das kann nicht von außen eingestellt werden

  • app/code/core/Mage/Core/Controller/Request/Http.php

    Stellen Sie Getter und Setter für diese Eigenschaft bereit

  • lib/Varien/Data/Collection/Db.php

    Entfernen field_expr funktion aus den Sammelbedingungen.Ich habe versucht, das einmal zu benutzen und es war sowieso nicht nützlich.Der Kerncode verwendet es sowieso auch nicht.Man kann also mit Sicherheit sagen, dass dies keine Auswirkungen auf Erweiterungen / Anpassungen hat.

Die Patch-Datei für Magento 1.4 bis 1.5.0.1 ist PATCH_SUPEE-5388_CE_1.4.0.0-1.5.0.1_v1.sh (Beachten Sie, dass die Nummer ist 5388, aber es ist der gleiche Patch wie 5344 für Magento 1.8 und 1.9)

Andere Tipps

Als Beispiel sind diese Dateien in EE 1.13 / 1.14 betroffen: generasacodicetagpre.

Während es aussieht, wie einige recht wichtige Klassen modifiziert sind, sind die Veränderungen recht gering und wirken sich nicht auf die meisten Geschäfte aus, wie @fschmengler gesagt hat. Der Angriffsvektor ist ziemlich komplex und erfordert eine komplexe Kombination von Aktionen. Soweit bekannt ist, dass kein Shop noch gefährdet wurde. Laut Magento sollten Sie überprüfen, ob unbekannte Dateien im Webserver-Dokument-Stammverzeichnis gefunden werden können.

Dateiberechtigungen werden nicht geändert.

Hier ist eine Liste der Dateinamen für die verschiedenen Patches, falls jemand aufgrund der Patch-Nummer verwirrt ist:

    .

  • ce 1.4.0.x - 1.5.0.x

    patch_supee-5388_ce_1.4.0.0-1.5.0.1_v1.sh

  • ce 1.5.1.0

    patch_supee-5390_ce_1.5.1.0_v1.sh

  • ce 1.6.0.x

    patch_supee-5341_ce_1.6.0.0_v1.sh

  • ce 1.6.1.x - 1.6.2.x

    patch_supee-5346_ce_1.6.1.0_v1.sh

  • ce 1.7.x

    patch_supee-5345_ce_1.7.0.2_v1.sh

  • ce 1.8.x - 1.9.x

    patch_supee-5344_ce_1.8.0.0_v1.sh

  • ee 1.7.0.0 - 1.10.0.2

    patch_supee-5388_ee_1.7.0.0_to_1.10.0.2_v1-2015-02-12-06-15-02.sh

  • ee 1.10.1.x

    patch_supee-5390_ee_1.10.1.x_v1-2015-02-12-06-25-09.sh

  • ee 1.11.0.x

    patch_supee-5341_ee_1.11.0.0_v1-2015-02-10-04-08-59.sh

  • ee 1.11.1.0 - 1.12.1.0

    patch_supee-5346_ee_1.11.1.0_v1-2015-02-10-04-13-55.sh

  • ee 1.12.0.x

    patch_supee-5345_ee_1.12.0.2_v1-2015-02-10-04-17-49.sh

  • ee 1.13.x - 1.14.x

    patch_supee-5344_ee_1.14.1.1.0_v1-2015-02-10-04-20-13.sh

    [update] Ein Patch für 1.5.1.0 ist jetzt verfügbar.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit magento.stackexchange
scroll top