คำถามติดแท็ก patches

คำถามเกี่ยวกับแพทช์ Magento Security อย่างเป็นทางการ (SUPEE-xxxx)

15
Security Patch SUPEE-7405 - ปัญหาที่อาจเกิดขึ้น?
ถึงเวลาแล้วสำหรับการแก้ไขเพิ่มเติมอีก SUPEE-7405 สำหรับ Magento 1.x หมดไปแล้วและรายการการแก้ไขมีความยาว: https://magento.com/security/patches/supee-7405 หลังจากประสบการณ์กับแพตช์ล่าสุดฉันต้องถามอีกครั้ง: อะไรคือปัญหาที่เป็นไปได้เมื่อใช้แพทช์และฉันต้องพิจารณาอะไร? ปัญหา XSS จำนวนมากได้รับการแก้ไขอีกครั้งดังนั้นฉันจึงคาดว่าจะแก้ไขธีมที่กำหนดเองด้วยตนเอง มีอะไรอีกไหม มีการเปลี่ยนแปลงที่เข้ากันไม่ได้ย้อนหลังหรือไม่?

30
Security Patch SUPEE-8788 - ปัญหาที่อาจเกิดขึ้น?
แพทช์รักษาความปลอดภัย Magento 1 ล่าสุด SUPEE-8788 มีการอัปเดต APPSEC 17 ชุดดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่จะต้องนำไปใช้โดยเร็วที่สุด ในทางตรงกันข้ามมีความเป็นไปได้ที่จะเกิดความเข้ากันได้แบบย้อนหลังได้หลายครั้งและทำให้ประวัติศาสตร์ของการปะติดตลอดปีที่ผ่านมาฉันจะไม่ใช้มันอย่างประมาท สิ่งที่ดีคือเวลานี้ไม่มีเทมเพลตส่วนหน้าดังนั้นดูเหมือนว่าเราไม่จำเป็นต้องแก้ไขชุดรูปแบบทั้งหมดของเรา นี่เป็นจริงสำหรับ Magento 1.8 หรือสูงกว่าเท่านั้น กระนั้น: คุณประสบปัญหาความเข้ากันได้หรือข้อผิดพลาดหลังจากใช้งาน patch หรือไม่?

23
Security Patch SUPEE-9767 - ปัญหาที่อาจเกิดขึ้น?
แพทช์รักษาความปลอดภัยใหม่ออกมาสำหรับ Magento 1 โดยระบุประเด็นปัญหา APPSEC 16 เรื่อง: https://magento.com/security/patches/supee-9767 ช่องโหว่เจ็ดช่อง 8.0 หรือสูงกว่าสำหรับ CVSSv3 Severityและช่องโหว่ดังกล่าวกำลังถูกใช้งานในป่าดังนั้นนี่คือโปรแกรมแก้ไขที่สำคัญ ไซต์สามารถใช้SUPEE-9767หรืออัปเดตเป็น CE 1.9.3.3 / EE 1.14.3.3 ใหม่ มีปัญหาหรือข้อผิดพลาดอะไรบ้างที่ควรระวังเมื่อใช้ SUPEE-9767 อัพเดท 2017-07-12: Magento ได้เปิดตัวSUPEE-9767 V2และCE 1.9.3.4เพื่อแก้ไขปัญหาต่างๆจากแพตช์เริ่มต้น หากคุณใช้ V1 คุณควรย้อนกลับและใช้ V2 หากคุณยังไม่ได้ทำการแก้ไขเพียงแค่ใช้ V2 และปัญหาส่วนใหญ่ที่เกิดขึ้นที่นี่จะไม่เกี่ยวข้อง

3
เข้าถึงข้อผิดพลาดที่ถูกปฏิเสธหลังจากติดตั้ง SUPEE-6285
หลังจากติดตั้งแพตช์ SUPEE-6285 บน Magento 1.7.0.2 ของเราแล้วระบบจะแสดงข้อผิดพลาด " ปฏิเสธการเข้าถึง " เมื่อพยายามเข้าถึงโมดูลที่กำหนดเองทั้งหมดสำหรับผู้ใช้ที่มีสิทธิ์เลือก (ไม่ใช่สิทธิ์ทั้งหมด) ภาพหน้าจอด้านล่าง สิทธิ์ของผู้ใช้ถูกตั้งค่าอย่างถูกต้องในทรัพยากรบทบาทและเราได้ใช้การตั้งค่าสิทธิ์อีกครั้งเพื่อให้แน่ใจว่ามีการตั้งค่าเหล่านี้ ปัญหาได้รับการทำซ้ำในส่วนขยายที่กำหนดเองหลายรายการดังนั้นจึงไม่ใช่เพียงส่วนขยายเดียวที่ไม่ทำงาน ฉันออกจากระบบ / ล้างแคชและยืนยันว่าคอมไพเลอร์ถูกปิดใช้งาน ทุกคนสามารถแนะนำวิธีแก้ไขปัญหานี้ได้หรือไม่

5
วิธีตรวจสอบว่าโมดูลใดได้รับผลกระทบจากแพตช์ความปลอดภัย SUPEE-6788
เมื่อวันที่ 27 ตุลาคม 2558 Magento ได้เปิดตัวแพตช์รักษาความปลอดภัย SUPEE-6788 ตามรายละเอียดทางเทคนิค 4 APPSEC ที่ได้รับการแก้ไขจำเป็นต้องมีการทำงานซ้ำในโมดูลท้องถิ่นและชุมชน: APPSEC-1034, การจัดการกับการข้าม URL ของผู้ดูแลระบบที่กำหนดเอง (ถูกปิดใช้งานโดยค่าเริ่มต้น) APPSEC-1063, แก้ไขการฉีด SQL ที่เป็นไปได้ APPSEC-1057 วิธีการประมวลผลแม่แบบช่วยให้เข้าถึงข้อมูลส่วนตัว APPSEC-1079, จัดการกับการหาประโยชน์ที่อาจเกิดขึ้นกับประเภทไฟล์ตัวเลือกที่กำหนดเอง ฉันสงสัยว่าจะตรวจสอบว่าโมดูลใดได้รับผลกระทบจากแพตช์ความปลอดภัยนี้ ฉันคิดวิธีแก้ปัญหาบางส่วนต่อไปนี้: APPSEC-1034: ค้นหา<use>admin</use>ใน config.xml ของโมดูลโลคัลและชุมชนทั้งหมด ฉันคิดว่านี่น่าจะเป็นรายการโมดูลทั้งหมดที่ได้รับผลกระทบจากปัญหานี้ APPSEC-1063: ค้นหาaddFieldToFilter('(และaddFieldToFilter('`ในไฟล์ PHP ทั้งหมดของโมดูลโลคัลและชุมชน สิ่งนี้ไม่สมบูรณ์เนื่องจากยังสามารถใช้ตัวแปรได้ APPSEC-1057: ค้นหา{{config path=และ{{block type=ในไฟล์ PHP ทั้งหมดของโมดูลโลคัลและชุมชนและกรององค์ประกอบทั้งหมดจากรายการที่อนุญาต สิ่งนี้ไม่สมบูรณ์เนื่องจากไม่มีตัวแปรเทมเพลตใด ๆ ที่เพิ่มโดยผู้ดูแลระบบ APPSEC-1079: ไม่คิด นอกจากนี้ยังมีรายการส่วนขยายที่มีช่องโหว่สำหรับ APPSEC-1034 และ …

6
Critical Reminder: ดาวน์โหลดและติดตั้งแพตช์ความปลอดภัยของ Magento (FTP ที่ไม่มีการเข้าถึง SSH)
แพทช์รักษาความปลอดภัยของ Magento ดูเหมือนพวกเขาเป็น.shไฟล์คนอื่นจะนำแพตช์เหล่านี้ไปใช้โดยไม่ใช้ SSH เพื่อติดตั้ง Magento ได้อย่างไร? แพทช์เหล่านี้จะสะสมหรือไม่ IE: พวกเขาจะรวมอยู่ใน Magento เวอร์ชันอนาคตหรือพวกเขาจำเป็นต้องนำมาใช้ใหม่หรือไม่? ฉันถามคำถามนี้เพราะฉันเข้าสู่แผงควบคุมของฉันและได้รับคำเตือนด้านความปลอดภัยที่สำคัญ: ดาวน์โหลดและติดตั้งแพตช์รักษาความปลอดภัยที่สำคัญ 2 อัน ( SUPEE-5344และSUPEE-1533 ) จากหน้าดาวน์โหลด Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ) หากคุณยังไม่ได้ดาวน์โหลดและติดตั้งแพทช์ 2 ตัวที่เผยแพร่ก่อนหน้านี้ซึ่งป้องกันผู้โจมตีจากการเรียกใช้โค้ดจากซอฟต์แวร์ Magento จากระยะไกล ปัญหาเหล่านี้ส่งผลกระทบต่อ Magento Community Edition ทุกรุ่น ข่าวประชาสัมพันธ์จาก Checkpoint Software Technologies ในอีกไม่กี่วันข้างหน้าจะทำให้หนึ่งในปัญหาเหล่านี้เป็นที่รู้จักอย่างกว้างขวาง ให้แน่ใจว่าแพทช์อยู่ในตำแหน่งที่เป็นมาตรการป้องกันก่อนที่จะเผยแพร่ปัญหา และวันที่ 14 พฤษภาคม 2558 : เป็นสิ่งสำคัญสำหรับคุณในการดาวน์โหลดและติดตั้งแพตช์รักษาความปลอดภัยใหม่ ( SUPEE-5994 …

3
APPSEC-1057 วิธีการเพิ่มตัวแปรหรือบล็อกในตารางรายการสีขาว
APPSEC-1057 (ส่วนหนึ่งของ SUPEE-6788) Magento ได้รวมรายการที่อนุญาตของบล็อกหรือคำสั่งอนุญาต หากโมดูลหรือใครก็ตามใช้ตัวแปรเช่น{{config path=”web/unsecure/base_url”}}และ {{block type=rss/order_new}}ในหน้า CMS หรืออีเมลและคำสั่งไม่ได้อยู่ในรายการนี้คุณจะต้องเพิ่มพวกเขาด้วยสคริปต์การติดตั้งฐานข้อมูลของคุณ ส่วนขยายหรือรหัสที่กำหนดเองที่จัดการเนื้อหา (เช่นส่วนขยายบล็อก) อาจได้รับผลกระทบ หากรหัสของคุณใช้ตัวแปรหรือบล็อกการกำหนดค่าบางอย่างคุณต้องสร้างสคริปต์การอัพเดทข้อมูลที่เพิ่มตัวแปรหรือบล็อกลงในตารางรายการสีขาว: คุณอนุญาตรายการตัวแปรและบล็อกที่กำหนดเองอย่างปลอดภัยได้อย่างไร

16
Security Patch SUPEE-10570 - ปัญหาที่เป็นไปได้หรือไม่
Magento เปิดตัวแพตช์รักษาความปลอดภัยใหม่สำหรับ M1 และอัปเดตสำหรับ M1 และ M2 ฉันควรระวังปัญหาอะไรบ้างเมื่ออัปเกรดหรือใช้งานโปรแกรมแก้ไขนี้ สุภี-10570 SUPEE-10570, Magento Commerce 1.14.3.8 และ Open Source 1.9.3.8 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการเรียกใช้รหัสระยะไกล (RCE) การเขียนสคริปต์ข้ามไซต์ (XSS และปัญหาอื่น ๆ ) การเผยแพร่เหล่านี้ยังรวมถึงการแก้ไขการทำงานขนาดเล็ก บันทึกประจำรุ่น MAGENTO 2.2.3, 2.1.12 และ 2.0.18 การปรับปรุงความปลอดภัย Magento Commerce และ Open Source 2.2.3, 2.1.12 และ 2.0.18 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิด Cross-Site Scripting (XSS), การรับรองรหัสผู้ใช้ Admin (RCE) และช่องโหว่อื่น ๆ …

4
จะตรวจสอบแพตช์เวอร์ชั่นล่าสุดที่ใช้กับวีโอไอพีได้อย่างไร?
ฉันเพิ่งใช้โปรแกรมปรับปรุงความปลอดภัย PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh เนื่องจากฉันไม่มีการเข้าถึง SSH ไปยังเว็บเซิร์ฟเวอร์ผู้ให้บริการจึงทำงานได้ดีสำหรับฉัน ฉันจะตรวจสอบด้วยตนเองได้อย่างไรถ้าทุกอย่างเรียบร้อยดี ฉันใช้ Magento CE 1.9.1.0

9
Security Patch SUPEE-10415 - ปัญหาที่เป็นไปได้หรือไม่
นิววีโอไอพี 1 แพทช์ได้รับการเผยแพร่สุภี-10415 โปรแกรมปรับปรุงนี้ช่วยป้องกันปัญหาด้านความปลอดภัยหลายประเภท หน้าข้อมูล: https://magento.com/security/patches/supee-10415 หน้าดาวน์โหลด: https://magento.com/tech-resources/download ปัญหาที่เป็นไปได้ที่ต้องระวังคืออะไร นอกจากนี้โปรดแบ่งปันข้อผิดพลาดและปัญหาที่คุณพบหลังจากติดตั้งแพตช์ ปัญหาเกี่ยวกับการใช้สุภี-10415 ในวานิลลา1.9.1.1การแสดงไม่สามารถนำมาใช้เนื่องจากข้อผิดพลาดก้อนใหญ่ที่Image.php แก้ไข: ณ วันที่ 7 ธันวาคม 2017 แก้ไขมีให้ใน SUPEE-10497 ต้องมีการติดตั้ง8788 เวอร์ชัน 2มิฉะนั้นจะเห็นข้อผิดพลาด "ชนิดข้อมูลที่ไม่สนับสนุน" ข้อมูลเพิ่มเติม. ข้อผิดพลาด"404: ไม่พบหน้าเว็บ"จากข้อผิดพลาด / ไดเรกทอรีหลังจากอัปเกรดเป็น SUPEE-10415 ปัญหานี้เกิดขึ้นเฉพาะในการติดตั้ง Magento ที่เรียกใช้ส่วนขยายของบุคคลที่สามที่แน่นอน วิธีแก้ปัญหา:ยืนยันว่าไม่มีคำเตือน PHP ที่สร้างขึ้นโดยส่วนขยายหรือการปรับแต่งใด ๆ

2
เกิดข้อผิดพลาดหลังจากไม่พบแพทช์ที่ประสบความสำเร็จ SUPEE-5994: ไม่พบคลาส 'Mage_Install_Controller_Router_Install' คลาส
ฉันติดตั้งแพตช์ SUPEE-5994 สำเร็จแล้ว: [root@x]# sh PATCH_SUPEE-5994_EE_1.14.1.0_v1-2015-05-14-05-05-02.sh Checking if patch can be applied/reverted successfully... Patch was applied/reverted successfully. แต่ตอนนี้หน้าเว็บทั้งหมดของฉันว่างเปล่า บันทึกข้อผิดพลาด httpd: [ข้อผิดพลาด] [ไคลเอ็นต์ x] ข้อผิดพลาดร้ายแรงของ PHP: คลาส 'Mage_Install_Controller_Router_Install' ไม่พบใน /var/www/x/public_html/app/code/core/Mage/Core/Controller/Varien/Front.php ในบรรทัดที่ 138 ฉันพยายาม: เคลียร์ / var / cache รีเซ็ต chmod / chown เริ่มบริการ httpd ใหม่ แต่ดูเหมือนว่าจะไม่มีอะไรทำงาน ใครมีปัญหาเดียวกัน แก้ไข: ไฟล์ Front.php: Varien_Profiler::start('mage::app::init_front_controller::collect_routers'); …

11
Security Patch SUPEE-10266 - ปัญหาที่เป็นไปได้หรือไม่
แพทช์รักษาความปลอดภัยใหม่ออกมาสำหรับ Magento 1 โดยจัดการกับปัญหา 13 APPSEC https://magento.com/security/patches/supee-10266 ปัญหาทั่วไปที่คุณต้องระวังเมื่อใช้โปรแกรมแก้ไขนี้ SUPEE-10266, Magento Commerce 1.14.3.6 และ Open Source 1.9.3.6 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการปลอมแปลงคำขอข้ามไซต์ (CSRF) การรั่วไหลของข้อมูลที่ไม่ได้รับอนุญาต รีลีสเหล่านี้ยังรวมถึงการแก้ไขปัญหาเกี่ยวกับการโหลดภาพและการชำระเงินโดยใช้การชำระเงินแบบขั้นตอนเดียว

4
แพทช์ใหม่ supee-6788 วิธีใช้แพทช์
หลังจากสัปดาห์ของการรอคอยโปรแกรมแก้ไขในวันนี้ (27.10.2015) ถูกปล่อยออกมา: SUPEE-6788 มีหลายสิ่งที่ได้รับการติดตั้งและควรตรวจสอบโมดูลที่ติดตั้งเพื่อหาช่องโหว่ที่อาจเกิดขึ้น ฉันเปิดโพสต์นี้เพื่อรับข้อมูลเชิงลึกเกี่ยวกับวิธีการใช้โปรแกรมแก้ไข ขั้นตอนในการใช้โปรแกรมแก้ไขมีอะไรบ้าง สำหรับความเข้าใจของฉันนี่คือขั้นตอน: แก้ไขโมดูลด้วยฟังก์ชันการทำงานของผู้ดูแลระบบที่ไม่ได้อยู่ภายใต้ URL ของผู้ดูแลระบบ แก้ไขโมดูลที่ใช้คำสั่ง SQL เป็นชื่อฟิลด์หรือฟิลด์ยกเว้น White list block หรือ directives ที่ใช้ตัวแปรเช่น{{config path=”web/unsecure/base_url”}}และ{{bloc type=rss/order_new}} การกล่าวถึงการหาประโยชน์ที่อาจเกิดขึ้นกับประเภทไฟล์ตัวเลือกที่กำหนดเอง (ไม่รู้จะทำอย่างไร) ใช้โปรแกรมปะแก้ นี่เป็นขั้นตอนที่ถูกต้องหรือไม่?

6
แพทช์รักษาความปลอดภัยคุณภาพเยี่ยม SUPEE-6482, แพทช์คืออะไร?
วันนี้ 04.08.2015 มีแพตช์รักษาความปลอดภัยใหม่เปิดตัวเพื่อนร่วมงานบางคนและฉันกำลังตรวจสอบแพตช์และยินดีที่ได้พูดคุยกันเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นและทุกคนก็รู้ว่าการโจมตีที่เป็นไปได้ อะไรที่เลวร้ายที่สุดที่อาจเกิดขึ้นได้? อัปเดต: ฉันแค่ต้องการเพิ่มอีเมลคุณภาพเยี่ยมที่ส่งวันนี้เพื่อโพสต์ให้เสร็จสมบูรณ์

20
Security Patch SUPEE-11155 - ปัญหาที่เป็นไปได้หรือไม่
Magento เปิดตัวแพตช์รักษาความปลอดภัยใหม่สำหรับ M1 และอัปเดตสำหรับ M1 และ M2 คุณต้องระวังปัญหาทั่วไปอะไรบ้างเมื่อใช้งาน patch / upgrade นี้ วีโอไอพี 1 https://magento.com/security/patches/supee-11155 วีโอไอพี 2 นี่ควรเป็นรีลีสล่าสุดในซีรีย์ 2.1 ซึ่งมาถึง EOL ในตอนท้ายของเดือนนี้ https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 https://github.com/magento/magento2/releases/tag/2.1.18 https://github.com/magento/magento2/releases/tag/2.2.9 https://github.com/magento/magento2/releases/tag/2.3.2

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.