แพทช์รักษาความปลอดภัยของ Magento ดูเหมือนพวกเขาเป็น.shไฟล์คนอื่นจะนำแพตช์เหล่านี้ไปใช้โดยไม่ใช้ SSH เพื่อติดตั้ง Magento ได้อย่างไร?

แพทช์เหล่านี้จะสะสมหรือไม่ IE: พวกเขาจะรวมอยู่ใน Magento เวอร์ชันอนาคตหรือพวกเขาจำเป็นต้องนำมาใช้ใหม่หรือไม่?

ฉันถามคำถามนี้เพราะฉันเข้าสู่แผงควบคุมของฉันและได้รับคำเตือนด้านความปลอดภัยที่สำคัญ:

ดาวน์โหลดและติดตั้งแพตช์รักษาความปลอดภัยที่สำคัญ 2 อัน ( SUPEE-5344และSUPEE-1533 ) จากหน้าดาวน์โหลด Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ )

หากคุณยังไม่ได้ดาวน์โหลดและติดตั้งแพทช์ 2 ตัวที่เผยแพร่ก่อนหน้านี้ซึ่งป้องกันผู้โจมตีจากการเรียกใช้โค้ดจากซอฟต์แวร์ Magento จากระยะไกล ปัญหาเหล่านี้ส่งผลกระทบต่อ Magento Community Edition ทุกรุ่น

ข่าวประชาสัมพันธ์จาก Checkpoint Software Technologies ในอีกไม่กี่วันข้างหน้าจะทำให้หนึ่งในปัญหาเหล่านี้เป็นที่รู้จักอย่างกว้างขวาง ให้แน่ใจว่าแพทช์อยู่ในตำแหน่งที่เป็นมาตรการป้องกันก่อนที่จะเผยแพร่ปัญหา

และวันที่ 14 พฤษภาคม 2558 :

เป็นสิ่งสำคัญสำหรับคุณในการดาวน์โหลดและติดตั้งแพตช์รักษาความปลอดภัยใหม่ ( SUPEE-5994 ) จากหน้าดาวน์โหลด Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ) โปรดใช้การอัปเดตที่สำคัญนี้ทันทีเพื่อช่วยปกป้องเว็บไซต์ของคุณจากการสัมผัสกับช่องโหว่ด้านความปลอดภัยหลายรายการที่ส่งผลต่อซอฟต์แวร์ Magento Community Edition ทุกรุ่น โปรดทราบว่าแพทช์นี้ควรติดตั้งเพิ่มเติมจาก Shoplift patch ล่าสุด (SUPEE-5344)

ฉันยังได้รับอีเมลต่อไปนี้:

เรียนผู้ขายวีโอไอพี

เพื่อเพิ่มความปลอดภัยให้กับแพลตฟอร์ม Magento จากการโจมตีที่อาจเกิดขึ้นเรากำลังปล่อยแพตช์ใหม่ (SUPEE-5994) ด้วยการแก้ไขด้านความปลอดภัยที่สำคัญหลายอย่างในปัจจุบัน แพตช์แก้ไขปัญหาต่าง ๆ รวมถึงสถานการณ์ที่ผู้โจมตีสามารถเข้าถึงข้อมูลลูกค้าได้ ช่องโหว่เหล่านี้ถูกรวบรวมผ่านโปรแกรมความปลอดภัยแบบหลายจุดและเราไม่ได้รับรายงานจากผู้ค้าหรือลูกค้าของพวกเขาที่ได้รับผลกระทบจากปัญหาเหล่านี้

ซอฟต์แวร์ Magento Community Edition ทุกเวอร์ชันได้รับผลกระทบและเราขอแนะนำอย่างยิ่งให้คุณทำงานร่วมกับ Solution Partner หรือนักพัฒนาซอฟต์แวร์ของคุณเพื่อปรับใช้ patch ที่สำคัญนี้ในทันที โปรดทราบว่าแพทช์นี้ควรติดตั้งเพิ่มเติมจาก Shoplift patch ล่าสุด (SUPEE-5344) ข้อมูลเพิ่มเติมเกี่ยวกับปัญหาด้านความปลอดภัยมีอยู่ในภาคผนวกของคู่มือผู้ใช้ Magento Community Edition

คุณสามารถดาวน์โหลดแพตช์ได้จากหน้าดาวน์โหลด Community Edition มองหาแพตช์ SUPEE-5994 แพตช์พร้อมใช้งานสำหรับ Community Edition 1.4.1– 1.9.1.1

ต้องแน่ใจว่าได้ติดตั้งและทดสอบแพตช์ในสภาพแวดล้อมการพัฒนาก่อนเพื่อยืนยันว่ามันทำงานได้อย่างที่คาดไว้ก่อนที่จะนำไปใช้กับไซต์ที่ใช้งานจริง ข้อมูลเกี่ยวกับการติดตั้งแพตช์ใน Magento Community Edition มีให้ทางออนไลน์

ขอขอบคุณสำหรับความสนใจในเรื่องนี้

อัปเดตกรกฎาคม 7 - 2015

7 กรกฎาคม 2558: Magento Security Patch ใหม่ ( SUPEE-6285 ) - ติดตั้งทันที
วันนี้เรากำลังมอบแพทช์รักษาความปลอดภัยใหม่ ( SUPEE-6285 ) ที่แก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญ แพตช์นี้มีให้สำหรับ Community Edition 1.4.1 ถึง 1.9.1.1 และเป็นส่วนหนึ่งของรหัสหลักของรุ่นล่าสุดของเรา Community Edition 1.9.2 ซึ่งสามารถดาวน์โหลดได้แล้ววันนี้ โปรดทราบ: คุณต้องติดตั้งSUPEE-5994 ก่อนเพื่อให้แน่ใจว่าSUPEE-6285ทำงานได้อย่างถูกต้อง ดาวน์โหลด Community Edition 1.9.2 หรือแพตช์จากหน้าดาวน์โหลด Community Edition: https://www.magentocommerce.com/products/downloads/magento/

อัปเดตสิงหาคม 4 - 2015

4 สิงหาคม 2558: Magento Security Patch ใหม่ ( SUPEE-6482 ) - ติดตั้งทันที
วันนี้เรากำลังจัดหาแพตช์รักษาความปลอดภัยใหม่ ( SUPEE-6482 ) ที่แก้ไขปัญหาความปลอดภัย 4 ประการ; สองประเด็นที่เกี่ยวข้องกับ API และความเสี่ยงในการเขียนสคริปต์ข้ามไซต์สองประเด็น แพตช์นี้มีให้สำหรับ Community Edition 1.4 และรุ่นที่ใหม่กว่าและเป็นส่วนหนึ่งของรหัสหลักของ Community Edition 1.9.2.1 ซึ่งสามารถดาวน์โหลดได้แล้ววันนี้ ก่อนที่จะใช้โปรแกรมปรับปรุงความปลอดภัยใหม่นี้คุณต้องใช้โปรแกรมปรับปรุงความปลอดภัยก่อนหน้านี้ทั้งหมด ดาวน์โหลด Community Edition 1.9.2.1 หรือแพตช์จากหน้าดาวน์โหลด Community Edition ที่https://www.magentocommerce.com/products/downloads/magento/

อัปเดตตุลาคม 27 - 2015

27 ตุลาคม 2558: Magento Security Patch ใหม่ ( SUPEE-6788 ) - ติดตั้งทันที
วันนี้เรากำลังปล่อยแพตช์ใหม่ ( SUPEE-6788 ) และ Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 เพื่อแก้ไขปัญหาด้านความปลอดภัย 10+ อัน ได้แก่ การเรียกใช้โค้ดจากระยะไกลและช่องโหว่การรั่วไหลของข้อมูล โปรแกรมแก้ไขนี้ไม่เกี่ยวข้องกับปัญหามัลแวร์ Guruincsite ตรวจสอบให้แน่ใจว่าได้ทดสอบโปรแกรมแก้ไขในสภาพแวดล้อมการพัฒนาก่อนเนื่องจากอาจมีผลกับส่วนขยายและการกำหนดเองได้ ดาวน์โหลดแพทช์จาก Community Edition หน้าดาวน์โหลด / การสนับสนุนของ Enterprise Edition ของ Portal และเรียนรู้เพิ่มเติมได้http://magento.com/security/patches/supee-6788

อัปเดต ม.ค. 20 - 2016

ข้อสำคัญ: แพทช์รักษาความปลอดภัยใหม่ ( SUPEE-7405 ) และรีลีส - 1/20/2016
วันนี้เรากำลังปล่อยแพตช์ใหม่ ( SUPEE-7405 ) และ Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ Magento . ไม่มีการโจมตีที่ได้รับการยืนยันที่เกี่ยวข้องกับปัญหาด้านความปลอดภัย แต่ช่องโหว่บางอย่างอาจถูกนำไปใช้เพื่อเข้าถึงข้อมูลลูกค้าหรือเข้ารับช่วงผู้ดูแลระบบ คุณสามารถดาวน์โหลดแพทช์และปล่อยจาก Community Edition หน้าดาวน์โหลด / MyAccount และเรียนรู้เพิ่มเติมที่https://magento.com/security/patches/supee-7405

อัปเดตกุมภาพันธ์ 23 - 2016

รุ่นที่ปรับปรุงของ SUPEE7405 patch มีให้แล้ว การปรับปรุงเพิ่มการสนับสนุนสำหรับ PHP 5.3 และปัญหาที่อยู่ด้วยสิทธิ์ในการอัปโหลดไฟล์การรวมเกวียนและ SOAP APIs ที่พบกับรีลีสดั้งเดิม พวกเขาไม่ได้แก้ไขปัญหาความปลอดภัยใหม่ คุณสามารถดาวน์โหลดแพทช์และปล่อยจาก Community Edition หน้าดาวน์โหลด / MyAccount และเรียนรู้เพิ่มเติมที่https://magento.com/security/patches/supee-7405

การใช้แพตช์ด้วยตนเองโดยไม่มีการเข้าถึง SSH

คุณมีจุดที่ดีที่นี่ แพทช์ได้รับมาเป็น.shไฟล์และไม่มีวิธีการแก้ปัญหาที่นำเสนอโดย Magento สำหรับเว็บไซต์ FTP เท่านั้น

ฉันขอแนะนำให้คัดลอกรหัสของเว็บไซต์ของคุณไปยังสภาพแวดล้อมท้องถิ่นผ่าน FTP (คุณอาจมีอยู่แล้ว) จากนั้นใช้ชุดข้อมูลแก้ไขโดยเรียกใช้.shไฟล์

ตอนนี้คุณต้องค้นหาไฟล์ที่คุณต้องการอัปโหลดอีกครั้ง หากคุณจะเปิด.shไฟล์ปะแก้คุณจะเห็นไฟล์ประกอบด้วยสองส่วน:

1. รหัสทุบตีเปลือกเพื่อนำไปใช้แก้ไข รหัสนี้เป็นรหัสทั่วไปสำหรับทุกโปรแกรมแก้ไข
2. แพทช์ที่เกิดขึ้นจริงในรูปแบบของรูปแบบแพทช์แบบครบวงจร สิ่งนี้บ่งชี้เฉพาะบรรทัดในไฟล์ที่มีการเปลี่ยนแปลง (รวมถึงบางบรรทัดบริบท) สิ่งนี้เริ่มต้นใต้บรรทัด__PATCHFILE_FOLLOWS__

จากส่วนที่สองคุณสามารถอ่านได้ว่าไฟล์ใดเป็น / ได้รับผลกระทบจากโปรแกรมแก้ไข คุณต้องอัปโหลดไฟล์เหล่านี้อีกครั้งไปยัง FTP หรือ ... คุณสามารถอัปโหลดทุกอย่างได้

ใช้ด้วยตนเองโดยไม่ต้อง bash / shell

1. หากคุณไม่สามารถเรียกใช้.shไฟล์ (ใน Windows) คุณสามารถแยกส่วนที่สองของแพทช์ ( แพทช์รวม ) และใช้มันด้วยตนเองด้วยเครื่องมือการแพตช์ (หรือผ่านPHPStorm )
2. เว็บไซต์Magentary.comให้ไฟล์ ZIP สำหรับ Magento แต่ละรุ่นที่มีไฟล์ที่ถูกแก้ไขเท่านั้น

แพทช์ในรุ่นปัจจุบันและอนาคต?

แพตช์ที่เปิดตัวในตอนนี้จะมีผลกับทุกเวอร์ชั่นที่เปิดตัวไปแล้ว แน่นอนว่าวีโอไอพีอาจเปิดตัวเวอร์ชั่นใหม่ (รุ่นใหญ่หรือรุ่นรอง) จากนั้นพวกเขาจะมีแพตช์รักษาความปลอดภัยทั้งหมดเนื่องจากวีโอไอพีจะใช้แพทช์กับฐานรหัสการพัฒนาของพวกเขาตามธรรมชาติ (แพตช์เหล่านี้มาจากฐานรหัสนั้น)

ปรับปรุง :
แพทช์ล่าสุดทุกวีโอไอพียังได้เปิดตัว Magento CE และ EE เวอร์ชันใหม่ที่มีแพทช์ล่าสุดที่เฉพาะเจาะจงอยู่แล้ว ดูที่วางจำหน่าย Archiveแท็บในหน้าดาวน์โหลดวีโอไอพี

ตรวจสอบชีตนี้ดูแลโดย JH สำหรับแพทช์ที่ต้องติดตั้ง Magento CE และ EE เวอร์ชันใด: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

น่าเสียดายที่ไม่มีวิธี 'ง่าย' ในการติดตั้งแพ็ตช์เหล่านี้โดยไม่ต้องเข้าถึงเชลล์ แต่มีสองวิธีในการติดตั้ง

ติดตั้ง patch ผ่าน PHP

1. ใช้ไคลเอนต์ FTP เพื่ออัปโหลดแพตช์เฉพาะไปที่รูทของโฟลเดอร์ Magento ของคุณ
2. สร้างไฟล์ PHP ชื่อ Applypatch.php ที่จะรันแพตช์ให้คุณแล้วอัปโหลดไปที่รูทของโฟลเดอร์ Magento ของคุณ ตรวจสอบให้แน่ใจว่าใช้ชื่อโปรแกรมแก้ไขที่ถูกต้องที่นี่ถ้าคุณไม่ใช้โปรแกรมแก้ไขสำหรับรุ่น 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

3. เยี่ยมชมไฟล์ได้ที่http://your.domain.com/applypatch.phpและตรวจสอบว่าเอาต์พุตดูตามที่คาดไว้หรือไม่

ติดตั้งโปรแกรมแก้ไขด้วยตนเอง

ไฟล์. sh มีโปรแกรมแก้ไข 'DIFF' แสดงว่ามีการลบและเพิ่มบรรทัดใด ในขณะที่ฉันไม่แนะนำคุณควรดาวน์โหลดไฟล์ด้วยตนเองผ่าน FTP และแก้ไขไฟล์เหล่านี้ในโปรแกรมแก้ไขที่คุณเลือกจากนั้นทำการอัปโหลดไฟล์อีกครั้งผ่าน FTP รูปแบบนั้นไม่ยากเกินกว่าจะตีความได้ดังนั้นคุณสามารถทำเช่นนี้กับไฟล์ทั้งหมดและไม่ควรใช้เวลานานกว่านั้น

ในกรณีของฉันฉันใช้ bitbucket สำหรับการบำรุงรักษารุ่นและทำการเปลี่ยนแปลงของฉันผ่าน bitBucket เท่านั้น

ดังนั้นสิ่งที่ฉันทำเมื่อฉันใช้โปรแกรมแก้ไขคือใช้โปรแกรมปรับปรุงนั้นในระบบท้องถิ่นของฉันและทดสอบทุกสิ่ง เว็บไซต์ของฉันใช้งานได้

และผลัก chnages ทั้งหมดไปที่ bitbucket และที่เว็บไซต์สดดึงการเปลี่ยนแปลงทั้งหมดและใช้ patch ของฉัน

ในกรณีที่คุณทำถ้าคุณไม่มีการเข้าถึง ssh

1) นำ patch มาใช้ในโลคัลและดันการเปลี่ยนแปลงไปยังบิตบูท Bitbucket บอกคุณว่าไฟล์ใดถูกเปลี่ยนจากการคอมมิทครั้งล่าสุด

2) อัปโหลดไฟล์เหล่านั้นด้วยตนเองผ่าน FTP และมีการใช้แพตช์ของคุณ

การใช้ Magento patches ผ่าน FTP / sFTP หรือ FileManager / การอัพโหลดไฟล์

วิธีที่ 1: -

ในการใช้แพทช์ด้วยวิธีนี้เราเพียงแค่แทนที่ไฟล์ที่เปลี่ยนแปลง วิธีนี้ไม่สามารถใช้งานแบบสุ่มสี่สุ่มห้าได้หากคุณหรือนักพัฒนาของคุณเปลี่ยนไฟล์หลักใด ๆ ของไฟล์วีโอไอพี การเปลี่ยนแปลงดังกล่าวควรถูกนำไปใช้กับไฟล์ที่ถูกติดตั้งใหม่หรือคุณสูญเสียการเปลี่ยนแปลงเหล่านี้

กรุณาเยี่ยมชม URL ด้านล่างเพื่อดาวน์โหลดแพตช์ต่อไปนี้: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

วิธีที่ 2: -

ดาวน์โหลดไฟล์แพตช์ไปที่https://magento.com/tech-resources/download#download1972 อัปโหลดไฟล์แพตช์ในรากของวีโอไอพี

ทำไฟล์เดียวด้วยชื่อของ patch.php เขียนโค้ดต่อไปนี้ลงไป

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

คุณเรียกใช้ patch.php จากเบราว์เซอร์

หากคุณได้รับข้อผิดพลาดเช่นนี้

"ข้อผิดพลาด! ไม่ได้ติดตั้งเครื่องมือระบบที่จำเป็นซึ่งใช้ในสคริปต์ sh นี้และไม่ได้ติดตั้งเครื่องมือ" patch "(โปรดแก้ไข) โปรดติดตั้ง (พวกเขา)

นั่นหมายถึงไม่ได้ติดตั้งเครื่องมือระบบในเซิร์ฟเวอร์ของคุณเพื่อเรียกใช้สคริปต์ sh

ฉันคิดว่ามันเป็นไปไม่ได้ที่จะทำโดยไม่ต้องเข้าถึง SSH แต่คุณสามารถสร้างบัญชี SSH บน cpanel หรือแผงอื่น ๆ ที่คุณได้รับและมีโอกาสมากที่คุณอาจพบบทเรียนสำหรับการสร้างบัญชี SSH โดยโฮสติ้งของคุณ บริษัท เพียงแค่ google "ชื่อ บริษัท โฮสติ้งของคุณ + การสร้าง ssh"

ดาวน์โหลดแพทช์ (จริง ๆ แล้ว 1 เท่านั้นเนื่องจาก 1 สำหรับ EE และอีกอันสำหรับ CE) แนะนำให้คุณเรียกใช้ด่วนก่อน

สำรอง cp -r public_html (แทนที่ public_html ด้วยการติดตั้งแบบเต็ม magento)

FTP แพตช์ไปยังไดเรคทอรีสำรองก่อนและตรวจสอบ ok ทั้งหมดโดยรันบนแบ็กอัพ .. sh patchname.sh

ตกลง? FTP แพตช์เพื่อติดตั้งและเรียกใช้จริงของคุณ

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

คำแนะนำยังแนะนำ "เมื่อต้องการใช้ความเป็นเจ้าของใหม่กับไฟล์ที่แก้ไขโดยแพทช์: ค้นหาผู้ใช้เว็บเซิร์ฟเวอร์: ps -o" คำสั่งกลุ่มผู้ใช้ "-C httpd, apache2 ค่าในคอลัมน์ USER คือชื่อผู้ใช้เว็บเซิร์ฟเวอร์โดยทั่วไป ผู้ใช้เว็บเซิร์ฟเวอร์ Apache บน CentOS เป็น apache และผู้ใช้เว็บเซิร์ฟเวอร์ Apache บน Ubuntu คือ www-data ในฐานะผู้ใช้ที่มีสิทธิ์รูทให้ป้อนคำสั่งต่อไปนี้จากไดเร็กทอรีการติดตั้ง Magento: chown -R web-server-user-name ตัวอย่างเช่นบน Ubuntu ที่ Apache มักใช้เป็น www-data ให้ป้อน chown -R www-data "

ใช้คำสั่ง ps เหมือนรูทฉันได้รูทในฐานะผู้ใช้และรัน chown -R root และติดตั้งแอพของฉันฉันก็รันอีกครั้งด้วยชื่อผู้ใช้ของบัญชีผู้ใช้ที่ติดตั้งไว้และทุกอย่างดี