SUPEE-5344 - Behebt einen potenziellen Exploit zur Remotecodeausführung
-
12-12-2019 - |
Frage
Was werden die wichtigsten Änderungen in den Dateien nach der Installation von sein aufnäher SUPEE-5344 für Magento 1.4.2.0?Ich meine, dass eine bestimmte Dateiberechtigung so etwas ändert...Bitte helfen Sie mir für das gleiche.
Lösung
Du musst es nicht verstehen.Keine Funktionsänderungen und die API-Änderungen sind für mindestens 99,99% der Entwickler irrelevant.Wenn du es nicht verstehst, bist du einer von denen.Wenden Sie es einfach an.Dateiberechtigungen sind nicht relevant, soweit ich sehe, verhindert es eine SQL-Injection durch bestimmte Anfragen an den Webdienst.
Speziell für Magento 1.4 wurden die folgenden Dateien geändert:
app/code/core/Mage/Admin/Model/Observer.php
URL-Parameter nicht verwenden
forwarded
für weitergeleitete Anfragen, aber Eigentuminternaly_forwarded
das kann nicht von außen eingestellt werdenapp/code/core/Mage/Core/Controller/Request/Http.php
Stellen Sie Getter und Setter für diese Eigenschaft bereit
lib/Varien/Data/Collection/Db.php
Entfernen
field_expr
funktion aus den Sammelbedingungen.Ich habe versucht, das einmal zu benutzen und es war sowieso nicht nützlich.Der Kerncode verwendet es sowieso auch nicht.Man kann also mit Sicherheit sagen, dass dies keine Auswirkungen auf Erweiterungen / Anpassungen hat.
Die Patch-Datei für Magento 1.4 bis 1.5.0.1 ist PATCH_SUPEE-5388_CE_1.4.0.0-1.5.0.1_v1.sh
(Beachten Sie, dass die Nummer ist 5388
, aber es ist der gleiche Patch wie 5344
für Magento 1.8 und 1.9)
Andere Tipps
Als Beispiel sind diese Dateien in EE 1.13 / 1.14 betroffen: generasacodicetagpre.
Während es aussieht, wie einige recht wichtige Klassen modifiziert sind, sind die Veränderungen recht gering und wirken sich nicht auf die meisten Geschäfte aus, wie @fschmengler gesagt hat. Der Angriffsvektor ist ziemlich komplex und erfordert eine komplexe Kombination von Aktionen. Soweit bekannt ist, dass kein Shop noch gefährdet wurde. Laut Magento sollten Sie überprüfen, ob unbekannte Dateien im Webserver-Dokument-Stammverzeichnis gefunden werden können.
Dateiberechtigungen werden nicht geändert.
Hier ist eine Liste der Dateinamen für die verschiedenen Patches, falls jemand aufgrund der Patch-Nummer verwirrt ist:
- .
-
ce 1.4.0.x - 1.5.0.x
patch_supee-5388_ce_1.4.0.0-1.5.0.1_v1.sh
-
ce 1.5.1.0
patch_supee-5390_ce_1.5.1.0_v1.sh
-
ce 1.6.0.x
patch_supee-5341_ce_1.6.0.0_v1.sh
-
ce 1.6.1.x - 1.6.2.x patch_supee-5346_ce_1.6.1.0_v1.sh
-
ce 1.7.x
patch_supee-5345_ce_1.7.0.2_v1.sh
-
ce 1.8.x - 1.9.x
patch_supee-5344_ce_1.8.0.0_v1.sh
-
ee 1.7.0.0 - 1.10.0.2 patch_supee-5388_ee_1.7.0.0_to_1.10.0.2_v1-2015-02-12-06-15-02.sh
-
ee 1.10.1.x
patch_supee-5390_ee_1.10.1.x_v1-2015-02-12-06-25-09.sh
-
ee 1.11.0.x
patch_supee-5341_ee_1.11.0.0_v1-2015-02-10-04-08-59.sh
-
ee 1.11.1.0 - 1.12.1.0 patch_supee-5346_ee_1.11.1.0_v1-2015-02-10-04-13-55.sh
-
ee 1.12.0.x
patch_supee-5345_ee_1.12.0.2_v1-2015-02-10-04-17-49.sh
-
ee 1.13.x - 1.14.x patch_supee-5344_ee_1.14.1.1.0_v1-2015-02-10-04-20-13.sh
[update] Ein Patch für 1.5.1.0 ist jetzt verfügbar.