คำถามติดแท็ก security

แสดงถึงคำถามความปลอดภัยใน Magento

15
Security Patch SUPEE-7405 - ปัญหาที่อาจเกิดขึ้น?
ถึงเวลาแล้วสำหรับการแก้ไขเพิ่มเติมอีก SUPEE-7405 สำหรับ Magento 1.x หมดไปแล้วและรายการการแก้ไขมีความยาว: https://magento.com/security/patches/supee-7405 หลังจากประสบการณ์กับแพตช์ล่าสุดฉันต้องถามอีกครั้ง: อะไรคือปัญหาที่เป็นไปได้เมื่อใช้แพทช์และฉันต้องพิจารณาอะไร? ปัญหา XSS จำนวนมากได้รับการแก้ไขอีกครั้งดังนั้นฉันจึงคาดว่าจะแก้ไขธีมที่กำหนดเองด้วยตนเอง มีอะไรอีกไหม มีการเปลี่ยนแปลงที่เข้ากันไม่ได้ย้อนหลังหรือไม่?

30
Security Patch SUPEE-8788 - ปัญหาที่อาจเกิดขึ้น?
แพทช์รักษาความปลอดภัย Magento 1 ล่าสุด SUPEE-8788 มีการอัปเดต APPSEC 17 ชุดดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่จะต้องนำไปใช้โดยเร็วที่สุด ในทางตรงกันข้ามมีความเป็นไปได้ที่จะเกิดความเข้ากันได้แบบย้อนหลังได้หลายครั้งและทำให้ประวัติศาสตร์ของการปะติดตลอดปีที่ผ่านมาฉันจะไม่ใช้มันอย่างประมาท สิ่งที่ดีคือเวลานี้ไม่มีเทมเพลตส่วนหน้าดังนั้นดูเหมือนว่าเราไม่จำเป็นต้องแก้ไขชุดรูปแบบทั้งหมดของเรา นี่เป็นจริงสำหรับ Magento 1.8 หรือสูงกว่าเท่านั้น กระนั้น: คุณประสบปัญหาความเข้ากันได้หรือข้อผิดพลาดหลังจากใช้งาน patch หรือไม่?

23
Security Patch SUPEE-9767 - ปัญหาที่อาจเกิดขึ้น?
แพทช์รักษาความปลอดภัยใหม่ออกมาสำหรับ Magento 1 โดยระบุประเด็นปัญหา APPSEC 16 เรื่อง: https://magento.com/security/patches/supee-9767 ช่องโหว่เจ็ดช่อง 8.0 หรือสูงกว่าสำหรับ CVSSv3 Severityและช่องโหว่ดังกล่าวกำลังถูกใช้งานในป่าดังนั้นนี่คือโปรแกรมแก้ไขที่สำคัญ ไซต์สามารถใช้SUPEE-9767หรืออัปเดตเป็น CE 1.9.3.3 / EE 1.14.3.3 ใหม่ มีปัญหาหรือข้อผิดพลาดอะไรบ้างที่ควรระวังเมื่อใช้ SUPEE-9767 อัพเดท 2017-07-12: Magento ได้เปิดตัวSUPEE-9767 V2และCE 1.9.3.4เพื่อแก้ไขปัญหาต่างๆจากแพตช์เริ่มต้น หากคุณใช้ V1 คุณควรย้อนกลับและใช้ V2 หากคุณยังไม่ได้ทำการแก้ไขเพียงแค่ใช้ V2 และปัญหาส่วนใหญ่ที่เกิดขึ้นที่นี่จะไม่เกี่ยวข้อง

3
เข้าถึงข้อผิดพลาดที่ถูกปฏิเสธหลังจากติดตั้ง SUPEE-6285
หลังจากติดตั้งแพตช์ SUPEE-6285 บน Magento 1.7.0.2 ของเราแล้วระบบจะแสดงข้อผิดพลาด " ปฏิเสธการเข้าถึง " เมื่อพยายามเข้าถึงโมดูลที่กำหนดเองทั้งหมดสำหรับผู้ใช้ที่มีสิทธิ์เลือก (ไม่ใช่สิทธิ์ทั้งหมด) ภาพหน้าจอด้านล่าง สิทธิ์ของผู้ใช้ถูกตั้งค่าอย่างถูกต้องในทรัพยากรบทบาทและเราได้ใช้การตั้งค่าสิทธิ์อีกครั้งเพื่อให้แน่ใจว่ามีการตั้งค่าเหล่านี้ ปัญหาได้รับการทำซ้ำในส่วนขยายที่กำหนดเองหลายรายการดังนั้นจึงไม่ใช่เพียงส่วนขยายเดียวที่ไม่ทำงาน ฉันออกจากระบบ / ล้างแคชและยืนยันว่าคอมไพเลอร์ถูกปิดใช้งาน ทุกคนสามารถแนะนำวิธีแก้ไขปัญหานี้ได้หรือไม่

5
วิธีตรวจสอบว่าโมดูลใดได้รับผลกระทบจากแพตช์ความปลอดภัย SUPEE-6788
เมื่อวันที่ 27 ตุลาคม 2558 Magento ได้เปิดตัวแพตช์รักษาความปลอดภัย SUPEE-6788 ตามรายละเอียดทางเทคนิค 4 APPSEC ที่ได้รับการแก้ไขจำเป็นต้องมีการทำงานซ้ำในโมดูลท้องถิ่นและชุมชน: APPSEC-1034, การจัดการกับการข้าม URL ของผู้ดูแลระบบที่กำหนดเอง (ถูกปิดใช้งานโดยค่าเริ่มต้น) APPSEC-1063, แก้ไขการฉีด SQL ที่เป็นไปได้ APPSEC-1057 วิธีการประมวลผลแม่แบบช่วยให้เข้าถึงข้อมูลส่วนตัว APPSEC-1079, จัดการกับการหาประโยชน์ที่อาจเกิดขึ้นกับประเภทไฟล์ตัวเลือกที่กำหนดเอง ฉันสงสัยว่าจะตรวจสอบว่าโมดูลใดได้รับผลกระทบจากแพตช์ความปลอดภัยนี้ ฉันคิดวิธีแก้ปัญหาบางส่วนต่อไปนี้: APPSEC-1034: ค้นหา<use>admin</use>ใน config.xml ของโมดูลโลคัลและชุมชนทั้งหมด ฉันคิดว่านี่น่าจะเป็นรายการโมดูลทั้งหมดที่ได้รับผลกระทบจากปัญหานี้ APPSEC-1063: ค้นหาaddFieldToFilter('(และaddFieldToFilter('`ในไฟล์ PHP ทั้งหมดของโมดูลโลคัลและชุมชน สิ่งนี้ไม่สมบูรณ์เนื่องจากยังสามารถใช้ตัวแปรได้ APPSEC-1057: ค้นหา{{config path=และ{{block type=ในไฟล์ PHP ทั้งหมดของโมดูลโลคัลและชุมชนและกรององค์ประกอบทั้งหมดจากรายการที่อนุญาต สิ่งนี้ไม่สมบูรณ์เนื่องจากไม่มีตัวแปรเทมเพลตใด ๆ ที่เพิ่มโดยผู้ดูแลระบบ APPSEC-1079: ไม่คิด นอกจากนี้ยังมีรายการส่วนขยายที่มีช่องโหว่สำหรับ APPSEC-1034 และ …

6
Critical Reminder: ดาวน์โหลดและติดตั้งแพตช์ความปลอดภัยของ Magento (FTP ที่ไม่มีการเข้าถึง SSH)
แพทช์รักษาความปลอดภัยของ Magento ดูเหมือนพวกเขาเป็น.shไฟล์คนอื่นจะนำแพตช์เหล่านี้ไปใช้โดยไม่ใช้ SSH เพื่อติดตั้ง Magento ได้อย่างไร? แพทช์เหล่านี้จะสะสมหรือไม่ IE: พวกเขาจะรวมอยู่ใน Magento เวอร์ชันอนาคตหรือพวกเขาจำเป็นต้องนำมาใช้ใหม่หรือไม่? ฉันถามคำถามนี้เพราะฉันเข้าสู่แผงควบคุมของฉันและได้รับคำเตือนด้านความปลอดภัยที่สำคัญ: ดาวน์โหลดและติดตั้งแพตช์รักษาความปลอดภัยที่สำคัญ 2 อัน ( SUPEE-5344และSUPEE-1533 ) จากหน้าดาวน์โหลด Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ) หากคุณยังไม่ได้ดาวน์โหลดและติดตั้งแพทช์ 2 ตัวที่เผยแพร่ก่อนหน้านี้ซึ่งป้องกันผู้โจมตีจากการเรียกใช้โค้ดจากซอฟต์แวร์ Magento จากระยะไกล ปัญหาเหล่านี้ส่งผลกระทบต่อ Magento Community Edition ทุกรุ่น ข่าวประชาสัมพันธ์จาก Checkpoint Software Technologies ในอีกไม่กี่วันข้างหน้าจะทำให้หนึ่งในปัญหาเหล่านี้เป็นที่รู้จักอย่างกว้างขวาง ให้แน่ใจว่าแพทช์อยู่ในตำแหน่งที่เป็นมาตรการป้องกันก่อนที่จะเผยแพร่ปัญหา และวันที่ 14 พฤษภาคม 2558 : เป็นสิ่งสำคัญสำหรับคุณในการดาวน์โหลดและติดตั้งแพตช์รักษาความปลอดภัยใหม่ ( SUPEE-5994 …

4
รหัสผ่านในการสมัครอีเมล์ การปฏิบัติที่ไม่ดี? รองรับ PCI?
เราใช้ Magento Enterprise (1.12) และฉันมีลูกค้าหลายคนส่งอีเมลถึงฉันบ่นว่าพวกเขาได้รับรหัสผ่านทางอีเมลเมื่อพวกเขาสมัครใช้งานบัญชี ฉันรู้ว่านี่ถือว่าเป็นการปฏิบัติที่ไม่ดี แต่มาพร้อมกับวีโอไอพีนอกกรอบ ฉันจะเปลี่ยนและลบมันออกจากเทมเพลตอีเมลซึ่งง่ายพอ แต่ฉันแค่สงสัยว่าทำไม Magento ถึงทำสิ่งนี้ถ้ามันถือว่าเป็นการปฏิบัติที่ไม่ดีมานาน ฉันรู้ว่ามีข้อมูลที่ละเอียดอ่อนเพียงเล็กน้อยที่เก็บไว้ในบัญชีผู้ใช้และเราทำการตรวจสอบความถูกต้องของบัตรเครดิต แต่ "Magento Enterprise ทำเช่นนั้นดังนั้นจะต้องใช้ได้" ดูเหมือนว่าคำตอบที่ไม่ดีสำหรับฉันที่จะให้ .. นักพัฒนาของวีโอไอพีหลายคนทำสิ่งนี้บ่อยครั้งในการสร้าง 'รายการที่ต้องทำ' เมื่อสร้างเว็บไซต์ใหม่เช่นลบการตรวจสอบทางโทรศัพท์

16
Security Patch SUPEE-10570 - ปัญหาที่เป็นไปได้หรือไม่
Magento เปิดตัวแพตช์รักษาความปลอดภัยใหม่สำหรับ M1 และอัปเดตสำหรับ M1 และ M2 ฉันควรระวังปัญหาอะไรบ้างเมื่ออัปเกรดหรือใช้งานโปรแกรมแก้ไขนี้ สุภี-10570 SUPEE-10570, Magento Commerce 1.14.3.8 และ Open Source 1.9.3.8 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการเรียกใช้รหัสระยะไกล (RCE) การเขียนสคริปต์ข้ามไซต์ (XSS และปัญหาอื่น ๆ ) การเผยแพร่เหล่านี้ยังรวมถึงการแก้ไขการทำงานขนาดเล็ก บันทึกประจำรุ่น MAGENTO 2.2.3, 2.1.12 และ 2.0.18 การปรับปรุงความปลอดภัย Magento Commerce และ Open Source 2.2.3, 2.1.12 และ 2.0.18 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิด Cross-Site Scripting (XSS), การรับรองรหัสผู้ใช้ Admin (RCE) และช่องโหว่อื่น ๆ …

4
จะตรวจสอบแพตช์เวอร์ชั่นล่าสุดที่ใช้กับวีโอไอพีได้อย่างไร?
ฉันเพิ่งใช้โปรแกรมปรับปรุงความปลอดภัย PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh เนื่องจากฉันไม่มีการเข้าถึง SSH ไปยังเว็บเซิร์ฟเวอร์ผู้ให้บริการจึงทำงานได้ดีสำหรับฉัน ฉันจะตรวจสอบด้วยตนเองได้อย่างไรถ้าทุกอย่างเรียบร้อยดี ฉันใช้ Magento CE 1.9.1.0

9
Security Patch SUPEE-10415 - ปัญหาที่เป็นไปได้หรือไม่
นิววีโอไอพี 1 แพทช์ได้รับการเผยแพร่สุภี-10415 โปรแกรมปรับปรุงนี้ช่วยป้องกันปัญหาด้านความปลอดภัยหลายประเภท หน้าข้อมูล: https://magento.com/security/patches/supee-10415 หน้าดาวน์โหลด: https://magento.com/tech-resources/download ปัญหาที่เป็นไปได้ที่ต้องระวังคืออะไร นอกจากนี้โปรดแบ่งปันข้อผิดพลาดและปัญหาที่คุณพบหลังจากติดตั้งแพตช์ ปัญหาเกี่ยวกับการใช้สุภี-10415 ในวานิลลา1.9.1.1การแสดงไม่สามารถนำมาใช้เนื่องจากข้อผิดพลาดก้อนใหญ่ที่Image.php แก้ไข: ณ วันที่ 7 ธันวาคม 2017 แก้ไขมีให้ใน SUPEE-10497 ต้องมีการติดตั้ง8788 เวอร์ชัน 2มิฉะนั้นจะเห็นข้อผิดพลาด "ชนิดข้อมูลที่ไม่สนับสนุน" ข้อมูลเพิ่มเติม. ข้อผิดพลาด"404: ไม่พบหน้าเว็บ"จากข้อผิดพลาด / ไดเรกทอรีหลังจากอัปเกรดเป็น SUPEE-10415 ปัญหานี้เกิดขึ้นเฉพาะในการติดตั้ง Magento ที่เรียกใช้ส่วนขยายของบุคคลที่สามที่แน่นอน วิธีแก้ปัญหา:ยืนยันว่าไม่มีคำเตือน PHP ที่สร้างขึ้นโดยส่วนขยายหรือการปรับแต่งใด ๆ

11
Security Patch SUPEE-10266 - ปัญหาที่เป็นไปได้หรือไม่
แพทช์รักษาความปลอดภัยใหม่ออกมาสำหรับ Magento 1 โดยจัดการกับปัญหา 13 APPSEC https://magento.com/security/patches/supee-10266 ปัญหาทั่วไปที่คุณต้องระวังเมื่อใช้โปรแกรมแก้ไขนี้ SUPEE-10266, Magento Commerce 1.14.3.6 และ Open Source 1.9.3.6 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการปลอมแปลงคำขอข้ามไซต์ (CSRF) การรั่วไหลของข้อมูลที่ไม่ได้รับอนุญาต รีลีสเหล่านี้ยังรวมถึงการแก้ไขปัญหาเกี่ยวกับการโหลดภาพและการชำระเงินโดยใช้การชำระเงินแบบขั้นตอนเดียว

5
Symlinks บนแม่แบบมีปัญหาด้านความปลอดภัยหรือไม่และถ้าใช่ทำไม
Magento แนะนำให้ไม่ใช้เทมเพลตผ่าน symlinks: Advanced > Developer > Template Settings > Allow Symlinks คำเตือน! ไม่แนะนำให้เปิดใช้งานคุณสมบัตินี้ในสภาพแวดล้อมการใช้งานจริงเนื่องจากอาจมีความเสี่ยงด้านความปลอดภัย จนถึงวันนี้ฉันไม่เห็นความเสี่ยงใด ๆ ที่นี่ ความเสี่ยงคืออะไร?

2
Magento 2: การรักษาความปลอดภัยแม่แบบ: วิธีไหนที่จะใช้?
ฉันทราบว่าวีโอไอพี 2 มีหลายวิธีที่จะรักษาความปลอดภัยของเทมเพลต: $block->escapeHtml() $block->escapeQuote() $block->escapeUrl() $block->escapeXssInUrl() แต่ฉันสงสัยว่าจะใช้วิธีเหล่านี้เมื่อใด

4
วิธีการป้องกัน / ดาวน์โหลดที่แนะนำ?
เนื่องจาก Magento ใช้/ downloaderเป็นวิธีการติดตั้งโปรแกรมอย่างสะดวกผ่านMagento Connect Managerจึงเห็นได้ชัดว่านี่เป็นปัญหาด้านความปลอดภัยเนื่องจากอนุญาตให้บอทหรือผู้คนพยายามเรียนรู้ข้อมูลประจำตัวสำหรับการติดตั้ง การตรวจสอบบันทึกการเข้าถึงเว็บไซต์ของฉันฉันตื่นตระหนกตามจำนวนครั้งที่พยายามเข้าสู่www.mysite.com/downloader ในฐานะที่เป็นสิ่งรอบตัวฉันได้เปลี่ยนนิสัยในการเปลี่ยนชื่อไดเรกทอรีดาวน์โหลดเป็น downloader.offlineแต่บางครั้งฉันก็ลืม (อาจเปลี่ยนชื่อกลับเป็นติดตั้งโปรแกรมหรือหลังจากที่ฉันทำเสร็จแล้ว) วิธีที่แนะนำในการปกป้องลิงค์นี้คืออะไร?

4
แพทช์ใหม่ supee-6788 วิธีใช้แพทช์
หลังจากสัปดาห์ของการรอคอยโปรแกรมแก้ไขในวันนี้ (27.10.2015) ถูกปล่อยออกมา: SUPEE-6788 มีหลายสิ่งที่ได้รับการติดตั้งและควรตรวจสอบโมดูลที่ติดตั้งเพื่อหาช่องโหว่ที่อาจเกิดขึ้น ฉันเปิดโพสต์นี้เพื่อรับข้อมูลเชิงลึกเกี่ยวกับวิธีการใช้โปรแกรมแก้ไข ขั้นตอนในการใช้โปรแกรมแก้ไขมีอะไรบ้าง สำหรับความเข้าใจของฉันนี่คือขั้นตอน: แก้ไขโมดูลด้วยฟังก์ชันการทำงานของผู้ดูแลระบบที่ไม่ได้อยู่ภายใต้ URL ของผู้ดูแลระบบ แก้ไขโมดูลที่ใช้คำสั่ง SQL เป็นชื่อฟิลด์หรือฟิลด์ยกเว้น White list block หรือ directives ที่ใช้ตัวแปรเช่น{{config path=”web/unsecure/base_url”}}และ{{bloc type=rss/order_new}} การกล่าวถึงการหาประโยชน์ที่อาจเกิดขึ้นกับประเภทไฟล์ตัวเลือกที่กำหนดเอง (ไม่รู้จะทำอย่างไร) ใช้โปรแกรมปะแก้ นี่เป็นขั้นตอนที่ถูกต้องหรือไม่?

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.