Lembrete crítico:Baixe e instale os patches de segurança do Magento.(FTP sem acesso SSH)
https://magento.stackexchange.com//questions/63858
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Os patches de segurança do Magento parecem que são .sh arquivos, como alguém aplicaria esses patches sem acesso SSH às suas instalações do Magento?
Além disso, esses patches são cumulativos?Ou seja:Eles serão incluídos na versão futura do Magento ou precisarão ser reaplicados?
Estou fazendo esta pergunta porque entrei no meu painel de administração e recebi um aviso crítico de segurança:
Baixe e implemente 2 patches de segurança importantes (SUPEE-5344 e SUPEE-1533) na página de download do Magento Community Edition (https://www.magentocommerce.com/products/downloads/magento/).
Se você ainda não fez isso, baixe e instale 2 patches lançados anteriormente que impedem que um invasor execute remotamente código no software Magento.Esses problemas afetam todas as versões do Magento Community Edition.
Um comunicado de imprensa da Check Point Software Technologies nos próximos dias tornará um desses problemas amplamente conhecido, possivelmente alertando hackers que possam tentar explorá-lo.Certifique-se de que os patches estejam em vigor como medida preventiva antes que o problema seja divulgado.
e isso a partir de 14 de maio de 2015:
É importante que você baixe e instale um novo patch de segurança (SUPEE-5994) na página de download do Magento Community Edition (https://www.magentocommerce.com/products/downloads/magento/).Aplique esta atualização crítica imediatamente para ajudar a proteger seu site da exposição a múltiplas vulnerabilidades de segurança que afetam todas as versões do software Magento Community Edition.Observe que este patch deve ser instalado além do patch Shoplift recente (SUPEE-5344).
Também recebi o seguinte e-mail:
Prezado Comerciante Magento,
Para proteger ainda mais a plataforma Magento contra possíveis ataques, estamos lançando hoje um novo patch (SUPEE-5994) com diversas correções de segurança críticas.O patch aborda uma série de problemas, incluindo cenários em que os invasores podem obter acesso às informações dos clientes.Essas vulnerabilidades foram coletadas por meio de nosso programa de segurança multiponto e não recebemos nenhum relato de comerciantes ou de seus clientes afetados por esses problemas.
Todas as versões do software Magento Community Edition são afetadas e recomendamos fortemente que você trabalhe com seu parceiro de solução ou desenvolvedor para implantar imediatamente este patch crítico.Observe que este patch deve ser instalado além do patch Shoplift recente (SUPEE-5344).Mais informações sobre os problemas de segurança estão disponíveis no Apêndice do guia do usuário do Magento Community Edition.
Você pode baixar o patch na página de download do Community Edition.Procure o patch SUPEE-5994.O patch está disponível para Community Edition 1.4.1– 1.9.1.1.
Certifique-se de implementar e testar o patch em um ambiente de desenvolvimento primeiro para confirmar se ele funciona conforme o esperado antes de implantá-lo em um site de produção.Informações sobre a instalação de patches no Magento Community Edition estão disponíveis online.
Obrigado pela sua atenção a este assunto.
ATUALIZAÇÃO 7 DE JULHO DE 2015
7 de julho de 2015:Novo patch de segurança Magento (SUPEE-6285) – Instale imediatamente
Hoje estamos fornecendo um novo patch de segurança (SUPEE-6285) que aborda vulnerabilidades críticas de segurança.O patch está disponível para Community Edition 1.4.1 a 1.9.1.1 e faz parte do código principal de nossa versão mais recente, Community Edition 1.9.2, disponível para download hoje.OBSERVE:Você deve primeiro implementar SUPEE-5994 para garantir SUPEE-6285 funciona corretamente.Baixe o Community Edition 1.9.2 ou o patch na página de download do Community Edition: https://www.magentocommerce.com/products/downloads/magento/
ATUALIZAÇÃO 4 DE AGOSTO DE 2015
4 de agosto de 2015:Novo patch de segurança Magento (SUPEE-6482) – Instale imediatamente
Hoje estamos fornecendo um novo patch de segurança (SUPEE-6482) que aborda quatro questões de segurança;dois problemas relacionados a APIs e dois riscos de script entre sites.O patch está disponível para Community Edition 1.4 e versões posteriores e faz parte do código principal do Community Edition 1.9.2.1, que está disponível para download hoje.Antes de implementar este novo patch de segurança, você deve primeiro implementar todos os patches de segurança anteriores.Baixe o Community Edition 1.9.2.1 ou o patch na página de download do Community Edition em https://www.magentocommerce.com/products/downloads/magento/
ATUALIZAÇÃO 27 DE OUTUBRO DE 2015
27 de outubro de 2015:Novo patch de segurança Magento (SUPEE-6788) – Instale imediatamente
Hoje, estamos lançando um novo patch (SUPEE-6788) e Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 para resolver mais de 10 problemas de segurança, incluindo execução remota de código e vulnerabilidades de vazamento de informações.Este patch não está relacionado ao Malware Guruincsite emitir.Certifique-se de testar primeiro o patch em um ambiente de desenvolvimento, pois ele pode afetar extensões e personalizações.Baixe o patch na página de download do Community Edition/Portal de suporte do Enterprise Edition e saiba mais em http://magento.com/security/patches/supee-6788.
ATUALIZAÇÃO 20 DE JANEIRO DE 2016
Importante:Novo patch de segurança (SUPEE-7405) e Lançamento – 20/01/2016
Hoje, estamos lançando um novo patch (SUPEE-7405) e edição da comunidade 1.9.2.3/Edição Empresarial 1.14.2.3 para melhorar a segurança dos sites Magento.Não há ataques confirmados relacionados a questões de segurança, mas certas vulnerabilidades podem ser potencialmente exploradas para acessar informações de clientes ou assumir sessões de administrador.Você pode baixar o patch e a versão na página de download do Community Edition/MyAccount e saber mais em https://magento.com/security/patches/supee-7405.
ATUALIZAÇÃO 23 DE FEVEREIRO DE 2016
Versões atualizadas do patch SUPEE7405 já estão disponíveis.As atualizações adicionam suporte ao PHP 5.3 e abordam problemas com as permissões de arquivo de upload, a fusão de carrinhos e as APIs SOAP experimentadas com a versão original.Eles NÃO abordam nenhum novo problema de segurança.Você pode baixar o patch e lançar da página de download da Community Edition/MyAccount e saber mais em https://magento.com/security/patches/supee-7405.
Solução
Aplicando patches manualmente sem acesso SSH
Você tem um bom argumento aqui.Os patches são fornecidos como .sh arquivos e não há solução oferecida pelo Magento para sites somente FTP.
Eu sugiro que você copie o código do seu site para um ambiente local através de FTP (você provavelmente já deve ter isso).Em seguida, aplique o patch executando o .sh arquivo.
Agora você precisa descobrir quais arquivos você precisa carregar novamente.Se você abrisse o .sh patch, então você verá que ele consiste em duas seções:
- Código shell Bash para aplicar o patch.Este código é geral para cada patch.
- O patch real na forma de um formato de patch unificado.Isto indica apenas as linhas nos arquivos que foram alteradas (incluindo algumas linhas de contexto).Isso começa abaixo da linha
__PATCHFILE_FOLLOWS__
Na segunda seção você pode ler quais arquivos foram/são afetados pelo patch.Você precisa enviar esses arquivos novamente para o seu FTP ou...você pode simplesmente fazer upload de tudo.
Aplicando manualmente sem bash/shell
- Se você não pode correr
.sharquivos (no Windows), então você pode extrair a segunda seção do patch (o patch unificado) e aplique-o manualmente com uma ferramenta de patch (ou por exemplo através PHPStorm). - O site Magentary. com fornece arquivos ZIP para cada versão do Magento contendo apenas os arquivos corrigidos.
Patches em versões atuais e futuras?
Os patches lançados agora se aplicam a todas as versões já lançadas.Claro, o Magento pode lançar uma nova versão (maior ou menor).Então eles conterão todos os patches de segurança, pois o Magento também aplicará os patches à sua base de código de desenvolvimento naturalmente (esses patches se originam dessa base de código;)).
ATUALIZAR:
A cada patch, o Magento também lançou novas versões do Magento CE e EE já contendo o patch específico mais recente.Veja o Arquivo de lançamento guia no Página de download do Magento.
Verifique nesta planilha, mantida por JH, quais patches instalar para qual versão do Magento CE e EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M
Outras dicas
Infelizmente, não existe uma maneira “fácil” de instalar esses patches sem acesso ao shell, mas há duas maneiras de fazer isso.
Instalar patch através de PHP
- Use um cliente FTP para enviar o patch específico para a raiz da sua pasta Magento.
- Crie um arquivo PHP chamado applypatch.php que executará o patch para você e carregue-o na raiz da sua pasta Magento.Certifique-se de usar o nome correto do patch aqui, se você não usar o patch para a versão 1.8.x-1.9.x
<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>
- Visite o arquivo em http://seu.domínio.com/applypatch.php, e verifique se a saída está conforme o esperado.
Instalar patch manualmente
O arquivo .sh contém um patch 'DIFF'.Eles mostram quais linhas foram removidas e adicionadas.Embora eu não recomende, você poderá baixar manualmente os arquivos por FTP, editá-los no editor de sua preferência e recarregá-los novamente por FTP.O formato não é muito difícil de interpretar, então você pode fazer isso para todos os arquivos e não deve demorar mais do que alguns minutos.
No meu caso eu uso o Bitbucket para manutenção de versão e fazemos viver minhas alterações por meio da Bitbucket.
Então, o que eu faço quando aplico os patches é, aplique esse patch no sistema local e teste todas as coisas.que meu site está funcionando.
e empurre todas as minceladas para o Bitbucket e no site ao vivo puxar todas as alterações e meu patch é aplicado.
no caso do que você faz se você não tiver acesso ssh é
1) Aplique o patch no local e empurre as alterações para o Bitbucket.Bitbucket informou quais arquivos foram alterados do último commit.
2) Carregue esses arquivos manualmente via FTP e seu patch é aplicado.
Aplicando patches Magento via FTP/sFTP ou FileManager/File Upload.
Método 1 :-
Para aplicar patches desta forma, simplesmente substituímos os arquivos alterados.Esta forma não pode ser usada cegamente se você ou seus desenvolvedores alteraram algum arquivo principal do Magento (o que é uma grande proibição, a propósito).Essas alterações devem ser aplicadas novamente aos arquivos corrigidos ou você perderá essas alterações.
por favor, visite os URLs abaixo para baixar os seguintes patches: -
https://magentary.com/kb/install-supee-9652-without-ssh/
https://magentary.com/kb/install-supee-8788-without-ssh/
https://magentary.com/kb/install-supee-7405-without-ssh/
https://magentary.com/kb/install-supee-6788-without-ssh/
http://magentary.com/kb/install-supee-6482-without-ssh/
http://magentary.com/kb/install-supee-6285-without-ssh/
https://magentary.com/kb/install-supee-5994-without-ssh/
https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/
Método 2: -
Baixe o arquivo de patch para https://magento.com/tech-resources/download#download1972 Carregue os arquivos de patch na raiz do magento.
Faça um arquivo com o nome patch.php, escreva o seguinte código nele,
<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>
Você executa patch.php no navegador.
Se você estiver recebendo um erro como este,
"Erro!Algumas ferramentas de sistema necessárias, utilizadas neste script sh, não estão instaladas;A(s) ferramenta(s) "patch" está faltando, instale-a(s).
Isso significa que as ferramentas do sistema não estão instaladas em seu servidor para executar o script sh.
Eu não acho que seja possível fazer isso sem acesso ssh, mas você sempre pode criar uma conta ssh no cPanel ou qualquer outro painel que você tem e há uma grande chance de você encontrar os tutoriais para criar uma conta SSHpela sua empresa de hospedagem apenas Google a "empresa de nome de sua hospedagem + ssh criando".
Baixe os patches (na verdade apenas 1, como 1 é para EE e o outro para CE) Sugira que você corra rapidamente primeiro ...
cp -r public_html backup (substitua public_html com instalação completa magento)
ftp o patch para o diretório de backup primeiro e verifique tudo ok executando-o no backup .. sh patchname.sh
Tudo ok? FTP O patch para sua instalação real e executar
http://devdocs.magento.com/guides/m1x/ outro / ht_install-patches.html
O guia também aconselha "Para reaplicar a propriedade para os arquivos alterados pelo patch: Encontre o usuário do servidor da Web: PS -O "Comando do grupo de usuários" -c httpd, Apache2 O valor na coluna do usuário é o nome de usuário do servidor da Web. Normalmente, o usuário do servidor da Web Apache no CENTOS é Apache e o usuário do servidor Apache Web no Ubuntu é WWW Data. Como usuário com privilégios raiz, insira o seguinte comando no diretório de instalação do Magento: Chown -r Web-Server-Name-User. Por exemplo, no Ubuntu, onde o Apache geralmente é executado como dados www, digite Chown -r WWW-Data "
Executando o comando PS como root, eu só recebi raiz como usuário e correu de raiz não-ran e buggered minha instalação, Eu corri de novo com o nome de usuário da conta de usuário que está instalado e tudo foi bom
