Kritische Erinnerung:Laden Sie Magento-Sicherheitspatches herunter und installieren Sie sie.(FTP ohne SSH-Zugang)
https://magento.stackexchange.com//questions/63858
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Die Magento-Sicherheitspatches sehen so aus, wie sie sind .sh dateien, wie würde jemand diese Patches ohne SSH-Zugriff auf seine Magento-Installationen anwenden?
Sind diese Patches auch kumulativ?IE:Werden sie in zukünftigen Versionen von Magento enthalten sein oder müssen sie erneut angewendet werden?
Ich stelle diese Frage, weil ich mich in meinem Admin-Panel angemeldet und eine kritische Sicherheitswarnung erhalten habe:
Laden Sie 2 wichtige Sicherheitspatches herunter und implementieren Sie sie (MODELL: SUPEE-5344 und MODELL: SUPEE-1533) von der Download-Seite der Magento Community Edition (https://www.magentocommerce.com/products/downloads/magento/).
Wenn Sie dies noch nicht getan haben, laden Sie 2 zuvor veröffentlichte Patches herunter und installieren Sie sie, die verhindern, dass ein Angreifer Code auf Magento-Software remote ausführt.Diese Probleme betreffen alle Versionen der Magento Community Edition.
Eine Pressemitteilung von Check Point Software Technologies in den kommenden Tagen wird eines dieser Probleme weithin bekannt machen und möglicherweise Hacker alarmieren, die versuchen könnten, es auszunutzen.Stellen Sie sicher, dass die Patches als vorbeugende Maßnahme vorhanden sind, bevor das Problem veröffentlicht wird.
und das ab 14. Mai 2015:
Es ist wichtig, dass Sie einen neuen Sicherheitspatch herunterladen und installieren (MODELL: SUPEE-5994) von der Download-Seite der Magento Community Edition (https://www.magentocommerce.com/products/downloads/magento/).Bitte installieren Sie dieses wichtige Update sofort, um Ihre Website vor mehreren Sicherheitslücken zu schützen, die sich auf alle Versionen der Magento Community Edition-Software auswirken.Bitte beachten Sie, dass dieser Patch zusätzlich zum aktuellen Ladendiebstahl-Patch (SUPEE-5344) installiert werden sollte.
Ich habe auch die folgende E-Mail erhalten:
Lieber Magento Händler,
Um die Magento-Plattform weiter vor potenziellen Angriffen zu schützen, veröffentlichen wir heute einen neuen Patch (SUPEE-5994) mit mehreren kritischen Sicherheitskorrekturen.Der Patch behebt eine Reihe von Problemen, einschließlich Szenarien, in denen Angreifer Zugriff auf Kundeninformationen erhalten können.Diese Schwachstellen wurden durch unser mehrstufiges Sicherheitsprogramm erfasst, und wir haben keine Berichte über Händler oder deren Kunden erhalten, die von diesen Problemen betroffen sind.
Alle Versionen der Magento Community Edition-Software sind betroffen und wir empfehlen Ihnen dringend, mit Ihrem Lösungspartner oder Entwickler zusammenzuarbeiten, um diesen kritischen Patch sofort bereitzustellen.Bitte beachten Sie, dass dieser Patch zusätzlich zum aktuellen Ladendiebstahl-Patch (SUPEE-5344) installiert werden sollte.Weitere Informationen zu den Sicherheitsproblemen finden Sie im Anhang des Benutzerhandbuchs der Magento Community Edition.
Sie können den Patch von der Community Edition-Downloadseite herunterladen.Suchen Sie nach dem SUPEE-5994-Patch.Der Patch ist für die Community Edition 1.4.1– 1.9.1.1 verfügbar.
Stellen Sie sicher, dass Sie den Patch zuerst in einer Entwicklungsumgebung implementieren und testen, um sicherzustellen, dass er wie erwartet funktioniert, bevor Sie ihn auf einer Produktionswebsite bereitstellen.Informationen zum Installieren von Patches für die Magento Community Edition sind online verfügbar.
Vielen Dank für Ihre Aufmerksamkeit zu diesem Thema.
UPDATE VOM 7. JULI 2015
7. Juli 2015:Neuer Magento-Sicherheitspatch (MODELL: SUPEE-6285) - Sofort installieren
Heute stellen wir einen neuen Sicherheitspatch bereit (MODELL: SUPEE-6285), das kritische Sicherheitslücken behebt.Der Patch ist für Community Edition 1.4.1 bis 1.9.1.1 verfügbar und ist Teil des Kerncodes unserer neuesten Version, Community Edition 1.9.2, die heute zum Download bereitsteht.HINWEIS:Sie müssen zuerst implementieren MODELL: SUPEE-5994 sicherzustellen MODELL: SUPEE-6285 ordnungsgemäß.Laden Sie Community Edition 1.9.2 oder den Patch von der Community Edition-Downloadseite herunter: https://www.magentocommerce.com/products/downloads/magento/
AKTUALISIERUNG 4. AUGUST - 2015
4. Januar 2015:Neuer Magento-Sicherheitspatch (Modell: SUPEE-6482) - Sofort installieren
Heute stellen wir einen neuen Sicherheitspatch bereit (Modell: SUPEE-6482), das 4 Sicherheitsprobleme anspricht;zwei Probleme im Zusammenhang mit APIs und zwei Site-übergreifende Skripting-Risiken.Der Patch ist für Community Edition 1.4 und spätere Versionen verfügbar und Teil des Kerncodes der Community Edition 1.9.2.1, die heute zum Download bereitsteht.Bevor Sie diesen neuen Sicherheitspatch implementieren, müssen Sie zuerst alle vorherigen Sicherheitspatches implementieren.Laden Sie Community Edition 1.9.2.1 oder den Patch von der Community Edition-Downloadseite unter herunter https://www.magentocommerce.com/products/downloads/magento/
AKTUALISIERUNG OKT 27 - 2015
27. Oktober 2015:Neuer Magento-Sicherheitspatch (MODELL: SUPEE-6788) - Sofort installieren
Heute veröffentlichen wir einen neuen Patch (MODELL: SUPEE-6788) und Community Edition 1.9.2.2 / Enterprise Edition 1.14.2.2, um mehr als 10 Sicherheitsprobleme zu beheben, einschließlich Remotecodeausführung und Sicherheitslücken bei Informationslecks.Dieser Patch steht in keinem Zusammenhang mit der Guruincsite-Malware Problem.Stellen Sie sicher, dass Sie den Patch zuerst in einer Entwicklungsumgebung testen, da er sich auf Erweiterungen und Anpassungen auswirken kann.Laden Sie den Patch von der Community Edition-Downloadseite / Enterprise Edition-Supportportal herunter und erfahren Sie mehr unter http://magento.com/security/patches/supee-6788.
AKTUALISIERUNG 20. JANUAR 2016
Wichtig:Neuer Sicherheitspatch (MODELL: SUPEE-7405) und Veröffentlichung – 20.1.2016
Heute veröffentlichen wir einen neuen Patch (MODELL: SUPEE-7405) und Community Edition 1.9.2.3/ Unternehmensausgabe 1.14.2.3 um die Sicherheit von Magento-Sites zu verbessern.Es gibt keine bestätigten Angriffe im Zusammenhang mit den Sicherheitsproblemen, aber bestimmte Sicherheitslücken können möglicherweise ausgenutzt werden, um auf Kundeninformationen zuzugreifen oder Administratorsitzungen zu übernehmen.Sie können den Patch und die Version von der Community Edition-Downloadseite / MyAccount herunterladen und erfahren Sie mehr unter https://magento.com/security/patches/supee-7405.
AKTUALISIERUNG 23. FEBRUAR 2016
Aktualisierte Versionen des SUPEE7405-Patches sind jetzt verfügbar.Die Updates fügen hinzu unterstützung für PHP 5.3 und Behebung von Problemen mit Upload-Dateiberechtigungen, zusammenführen von Warenkörben und SOAP-APIs, die mit der ursprünglichen Version erlebt wurden.Sie sprechen KEINE neuen Sicherheitsprobleme an.Sie können den Patch herunterladen und Freigabe von der Community Edition-Downloadseite / Mein Konto und lernen mehr unter https://magento.com/security/patches/supee-7405.
Lösung
Manuelles Anwenden von Patches ohne SSH-Zugriff
Sie haben hier einen guten Punkt.Die Patches werden geliefert als .sh dateien und es gibt keine von Magento angebotene Lösung für reine FTP-Websites.
Ich schlage vor, man würde den Code seiner Website über FTP in eine lokale Umgebung kopieren (das hätten Sie wahrscheinlich schon).Wenden Sie dann den Patch an, indem Sie das Ausführen .sh Datei.
Jetzt müssen Sie herausfinden, welche Dateien Sie erneut hochladen müssen.Wenn Sie das öffnen würden .sh patch-Datei, dann werden Sie sehen, dass sie aus zwei Abschnitten besteht:
- Bash-Shell-Code zum Anwenden des Patches.Dieser Code ist für jeden Patch allgemein.
- Der eigentliche Patch in Form eines einheitliches Patch-Format.Dies zeigt nur die Zeilen in Dateien an, die geändert wurden (einschließlich einiger Kontextzeilen).Dies beginnt unter der Linie
__PATCHFILE_FOLLOWS__
Im zweiten Abschnitt konnten Sie nachlesen, welche Dateien vom Patch betroffen waren / sind.Sie müssen diese Dateien erneut auf Ihren FTP- oder hochladen...du könntest einfach alles hochladen.
Manuelle Anwendung ohne Bash / Shell
- Wenn du nicht rennen kannst
.shdateien (in Windows), dann könnten Sie den zweiten Abschnitt des Patches (den einheitlicher Patch) und wenden Sie es manuell an mit einem Patch-Tool (oder zum Beispiel durch PhpStorm). - Website Magentary.com stellt ZIP-Dateien für jede Magento-Version bereit, die nur die gepatchten Dateien enthalten.
Patches in aktuellen und zukünftigen Versionen?
Die Patches, die jetzt veröffentlicht werden, gelten für alle Versionen, die bereits veröffentlicht wurden.Natürlich könnte Magento eine neue Version (Major oder Minor) veröffentlichen.Dann enthalten sie alle Sicherheitspatches, da Magento die Patches natürlich auch auf ihre Entwicklungscodebasis anwendet (diese Patches stammen sogar von dieser Codebasis;)).
UPDATE:
Mit jedem letzten Patch hat Magento auch neue Versionen von Magento CE und EE veröffentlicht, die bereits den neuesten Patch enthalten.Sehen Sie die Release-Archiv registerkarte auf der Magento Download-Seite.
Überprüfen Sie in diesem von JH verwalteten Blatt, welche Patches für welche Magento CE- und EE-Version installiert werden sollen: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M
Andere Tipps
Leider gibt es keine 'einfache' Möglichkeit, diese Patches ohne Shell-Zugriff zu installieren, aber es gibt zwei Möglichkeiten, dies zu tun.
Patch über PHP installieren
- Verwenden Sie einen FTP-Client, um den spezifischen Patch in das Stammverzeichnis Ihres Magento-Ordners hochzuladen.
- Erstellen Sie eine PHP-Datei namens applypatch.php, das den Patch für Sie ausführt und in das Stammverzeichnis Ihres Magento-Ordners hochlädt.Stellen Sie sicher, dass Sie hier den richtigen Patchnamen verwenden, wenn Sie den Patch für Version 1.8 nicht verwenden.x-1,9.x
<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>
- Besuchen Sie die Datei unter http://your.domain.com/applypatch.php, und überprüfen Sie, ob die Ausgabe wie erwartet aussieht.
Patch manuell installieren
Die .sh-Datei enthält einen 'DIFF'-Patch.Diese zeigen, welche Zeilen entfernt und hinzugefügt wurden.Obwohl ich es nicht rate, sollten Sie in der Lage sein, die Dateien manuell über FTP herunterzuladen, diese Dateien in einem Editor Ihrer Wahl zu bearbeiten und sie dann erneut über FTP hochzuladen.Das Format ist nicht allzu schwer zu interpretieren, so dass Sie dies für alle Dateien tun können und nicht länger als ein paar Minuten dauern sollten.
In meinem Fall verwende ich Bitbucket für die Versionspflege und mache meine Änderungen nur über bitBucket live.
Wenn ich also die Patches anwende, wende ich diesen Patch auf meinem lokalen System an und teste alle Dinge.dass meine Website funktioniert.
und schiebe alle Änderungen auf Bitbucket und ziehe auf der Live-Site alle Änderungen und mein Patch wird angewendet.
Falls das, was Sie tun, wenn Sie keinen SSH-Zugang haben, ist
1) Wenden Sie den Patch lokal an und übertragen Sie die Änderungen an Bitbucket.Bitbucket teilt Ihnen mit, welche Dateien seit dem letzten Commit geändert wurden.
2) laden Sie diese Datei manuell per FTP hoch und Ihr Patch wird angewendet.
Anwenden von Magento-Patches über FTP / sFTP oder Dateimanager / Dateiupload.
Methode 1 :-
Um Patches auf diese Weise anzuwenden, ersetzen wir einfach geänderte Dateien.Dieser Weg kann nicht blind verwendet werden, wenn Sie oder Ihre Entwickler irgendwelche Kern-Magento-Dateien geändert haben (was übrigens ein großes Nein-Nein ist).Solche Änderungen sollten auf gepatchte Dateien erneut angewendet werden, oder Sie verlieren diese Änderungen.
bitte besuchen Sie die folgenden URLs, um die folgenden Patches herunterzuladen:-
https://magentary.com/kb/install-supee-9652-without-ssh/
https://magentary.com/kb/install-supee-8788-without-ssh/
https://magentary.com/kb/install-supee-7405-without-ssh/
https://magentary.com/kb/install-supee-6788-without-ssh/
http://magentary.com/kb/install-supee-6482-without-ssh/
http://magentary.com/kb/install-supee-6285-without-ssh/
https://magentary.com/kb/install-supee-5994-without-ssh/
https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/
Methode 2 :-
Patch-Datei herunterladen auf https://magento.com/tech-resources/download#download1972 Laden Sie Patch-Dateien im Stammverzeichnis von Magento hoch.
Erstellen Sie eine Datei mit dem Namen Patch.php, schreibe folgenden Code hinein,
<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>
Sie führen Patch aus.php aus dem Browser.
Wenn Sie einen Fehler wie diesen erhalten,
"Fehler!Einige erforderliche Systemtools, die in diesem sh-Skript verwendet werden, sind nicht installiert;Tool (s) "Patch" wird (werden) vermisst, bitte installieren Sie es (sie).
Das bedeutet, dass auf Ihrem Server keine Systemtools installiert sind, um das sh-Skript auszuführen.
Ich glaube nicht, dass dies ohne SSH-Zugriff möglich ist, aber Sie können jederzeit ein SSH-Konto im Cpanel oder in einem anderen Panel erstellen, und es besteht eine große Chance, dass Sie die Tutorials zum Erstellen eines SSH-Kontos von Ihrem Hosting finden Unternehmen googeln Sie einfach den "Namen Ihres Hosting-Unternehmens + SSH-Erstellung".
Laden Sie die Patches herunter (eigentlich nur 1, da 1 für EE und der andere für CE ist) Schlage vor, du rennst zuerst schnell zurück....
cp -r public_html backup (Ersetzen Sie public_html durch vollständige Magento-Installation)
FTP den Patch zuerst in das Backup-Verzeichnis und überprüfe alles in Ordnung, indem du ihn auf dem Backup ausführst..sh patchname.sh
Alles in Ordnung?FTP den Patch zu deiner eigentlichen Installation und Ausführung
http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html
der Leitfaden rät auch "So wenden Sie den Besitz der durch den Patch geänderten Dateien erneut an:Finden Sie den Webserver-Benutzer:ps -o "Benutzergruppenbefehl" -C httpd,apache2 Der Wert in der Spalte BENUTZER ist der Benutzername des Webservers.Normalerweise ist der Apache-Webserver-Benutzer unter CentOS Apache und der Apache-Webserver-Benutzer unter Ubuntu www-data.Geben Sie als Benutzer mit Root-Rechten den folgenden Befehl aus dem Magento-Installationsverzeichnis ein:chown -R Webserver-Benutzername .Geben Sie beispielsweise unter Ubuntu, wo Apache normalerweise als www-Daten ausgeführt wird, Folgendes ein chown -R www-Daten "
wenn ich den Befehl ps als root ausführe, habe ich nur root als Benutzer erhalten und chown -R root ausgeführt und meine Installation durcheinander gebracht, ich habe es erneut mit dem Benutzernamen des Benutzerkontos ausgeführt, auf dem es installiert ist, und alles war gut
