Der neue Magento 1-Patch SUPEE-10415 wurde veröffentlicht .
Dieser Patch bietet Schutz vor verschiedenen Arten von Sicherheitsproblemen
Infoseite: https://magento.com/security/patches/supee-10415
Download-Seite: https://magento.com/tech-resources/download
Was sind die möglichen Probleme zu beachten?
Bitte teilen Sie auch alle Fehler und Probleme mit, die Sie nach der Patch-Installation gefunden haben.
Problem beim Anwenden von SUPEE-10415 auf Vanille 1.9.1.1 , Shows können nicht angewendet werden, da eine große Fehlermeldung bei Image.php vorliegt . BEARBEITEN: Ab dem 7. Dezember 2017 ist ein Update in SUPEE-10497 verfügbar
Muss 8788 Version 2 installiert haben, andernfalls werden Fehler vom Typ "Nicht unterstützter Datentyp" angezeigt. Mehr Info.
- Fehler "404: Seite nicht gefunden" aus dem Verzeichnis " errors /" nach dem Upgrade auf SUPEE-10415. Dieses Problem tritt nur bei Magento-Installationen auf, auf denen bestimmte Erweiterungen von Drittanbietern ausgeführt werden.
Problemumgehung: Stellen Sie sicher, dass keine PHP-Warnungen von einer der Erweiterungen oder Anpassungen generiert werden.
quelle
Antworten:
Die folgenden Dateien werden nach dem Patch SUPEE - 10415 aktualisiert / hinzugefügt .
Einige wichtige Punkte:
1) Zulässige Dateierweiterungen: log, txt, html, csv. Checken Sie die folgenden Dateien ein
2) Die maximal festgelegte Kennwortlänge beträgt 256 Zeichen, und die Überprüfungsdatei ist
app/code/core/Mage/Customer/Model/Customer.php
eingechecktFür die EE Edition wurden weitere vier Dateien hinzugefügt
Einige wichtige Punkte in EE
In den folgenden Dateien wurde eine Bedingung hinzugefügt
Bitte aktualisieren Sie die folgende Bedingung in Ihren Themendateien.
Für mehr Informationen:
https://magento.com/security/patches/supee-10415 http://devdocs.magento.com/guides/m1x/ce19-ee114/ee1.14_release-notes.html#ee114-11436 http: // devdocs. magento.com/guides/m1x/ce19-ee114/ce1.9_release-notes.html#ce19-1936
quelle
SUPEE-10415 ...
Behebt einige XSS-Probleme im Admin-Panel in den folgenden Bereichen:
Beschränkt die Dateierweiterungen, die für die System- und Ausnahmeprotokolldateien verwendet werden können. Erlaubte Dateiendungen:
.log
,.txt
,.html
,.csv
Setzt eine Obergrenze von 256 Zeichen für die Passwörter von Kundenkonten. Diese besondere Veränderung ist lächerlich; Ich bin mir nicht sicher, woher sie diese gute Idee haben.
Keine dieser Änderungen scheint massiv zu stören oder rückwärtskompatibel zu sein, außer vielleicht wegen der Beschränkung der Länge des Kundenkennworts.
quelle
SUPEE 10415 Benötigt 8788 v2 Patch
Ich habe den gleichen Fehler wie in einem vorherigen Beitrag festgestellt, aber er scheint beseitigt worden zu sein.
Ich habe den oben genannten Fehler festgestellt, als ich den neuen Patch auf M 1.8.00 CE installiert habe. Die spezifische Ursache scheint darin zu liegen, dass wir mit dem v2-Patch von 8788 für die meisten Probleme manuelle Korrekturen vorgenommen haben, aber die Teile der Deserialisierung fehlten.
Anstatt den Patch zurückzusetzen, habe ich die Änderungen manuell vorgenommen und jetzt funktioniert die Site ordnungsgemäß.
Unten finden Sie den Code für den 8788-Patch
Sie können auch mehr über den Fehler in diesem Beitrag lesen. Gelöst: Neue Unserialize_Parser-Klasse wirft Ausnahmen auf NULL-Werte
quelle
Wir hatten ein Problem mit diesem Patch, bei dem auf jeder Seite der Website der Fehler "404: Seite nicht gefunden" aus dem
errors/
Verzeichnis angezeigt wurde. Nach ein wenig Ausgraben stellt sich heraus, dass es durch eine PHP-Warnung in verursacht wurdeMage_Core_Model_App::init
, die dannMage_Core_Model_Store_Exception
in den folgenden Zeilen aus dem Patch ein hervorruft :mageCoreErrorHandler()
, derMage::log()
die Nachricht in die Protokolldatei aufruft .Mage::log()
AnrufeMage::helper('log')
Mage_Log_Helper_Data::__construct
AnrufeMage::getStoreConfig()
, der anruftMage::app()->getStore()
, aber die Speicher wurden noch nicht initialisiert und einMage_Core_Model_Store_Exception
wird geworfenapp/Mage.php:647
fängt die Ausnahme ab und gibt eine 404-Seite zurückIch bin mir noch nicht sicher, was die Lösung ist, außer die Warnung zu beheben und / oder die Ausnahme beim Überprüfen der Protokolldateierweiterung abzufangen. Ich werde dies Magento melden, um zu sehen, was sie denken.
quelle
__construct()
Methode verfügenMage_Log_Helper_Data
und daher nicht davon betroffen sind, aber sowohl die neuesten Community- als auch die Enterprise-Editionen.1. Behoben: Ungültiges Problem mit dem geheimen Schlüssel, wenn ein Benutzer den Administrator lädt
In diesen Patches zeigt Magento das nicht mehr an
“Invalid Secret Key. Please refresh the page.” message when a user loads the Admin
.Indem Sie den Code unter ändern
app/code/core/Mage/Adminhtml/Controller/Action.php
Streng alle Kunden Passwort bis zur Länge von max. 256:
Wir wissen bereits, dass das Passwort für magento 1.x mindestens 6 ist .
In diesem Patch ist die maximale Länge von Magento auf 256 begrenzt.
Dieser Fall hat magento done Änderungen an Funktion
validate()
von Kundenmodellklasse .So, wenn jemand die Klasse überschreiben und auch außer Kraft setzen , dann sollten sie unter Code hinzufügen aufthat override class
Add
$this->escapeHtml()
und Mage :: helper ('core') -> quoteEscape () für einige Dateien, bei denen ein XSS-Angriff möglich istWenn jemand diese Dateien überschreibt, sollten Sie den folgenden Code hinzufügen, um die Überschreiberklasse 1.app/code/core/Mage/Adminhtml/Block/Report/Review/Detail.php zu ersetzen
ersetzen
mit
2.app/code/core/Mage/Adminhtml/Block/Report/Tag/Product/Detail.php
ersetzen
mit
3.app/code/core/Mage/Adminhtml/Block/Review/Edit/Form.php
ersetzen
mit
ersetzen
mit
ersetzen
mit
ersetzen
mit
quelle
Wenn Sie SUPEE-10358 ^ bereits angewendet oder das Problem
app/code/core/Mage/Adminhtml/Controller/Action.php
" Invalid Secret Key " manuell behoben haben, müssen Sie diesen Abschnitt manuell aus der Patch-Datei löschen:Wenn Sie den in SUPEE-10266 eingeführten Tippfehler " new-pawwsord " bereits behoben haben,
app/design/adminhtml/default/default/template/backup/dialogs.phtml
löschen Sie diesen Abschnitt auch aus dem Patch:^ MageSupport hat SUPEE-10358 als Antwort auf ein EE-Support-Ticket für das InvalidSecretKey-Problem bereitgestellt
quelle
Problem: Patch funktioniert nicht unter Vanilla 1.9.1.1
Edit 1: Update unten hinzugefügt.
Edit 2: Mein Fix wird nicht mehr benötigt, Magento hat SUPEE-10497 bereitgestellt, das dieses Problem behebt.
Problem:
Das Vanille Magento 1.9.1.1 wurde von https://github.com/OpenMage/magento-mirror/archive/1.9.1.1.tar.gz heruntergeladen
Zuvor auf Magento 1.9.1.1 angewendete Patches:
Offizieller Fix für den SUPEE-10415-Patch für 1.9.1.1:
SUPEE-10266
: Setzen Siees zurück mit:
./PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh --revert
SUPEE-10415
: Setzen Siees mit zurück
./PATCH_SUPEE-10415_CE_1.9.1.1_v1-2017-11-27-05-47-08.sh --revert
Manuelle Korrektur für den SUPEE-10415-Patch für 1.9.1.1 [veraltet]:
Bearbeiten Sie die Datei
PATCH_SUPEE-10415_CE_1.9.1.1_v1-2017-11-27-05-47-08.sh
, ersetzen Sie die Zeilen445
-447
.Alt:
Neu:
quelle
app/code/core/Mage/Core/Model/File/Validator/Image.php
. Patch SUPEE-10415 scheint die von Patch SUPEE-9767 (v1 oder v2)Hier ist das komplette Änderungsprotokoll und was ich mit diesem Änderungsprotokoll verstehe
Und welche Dateien von welcher Ursache betroffen waren, ist unten aufgeführt
Escape-HTML-Änderung
Datei
DS statt '/' hinzufügen
neue Datei hinzugefügt
Komplette Änderungsdatei
app / code / core / Mage / Adminhtml / Model / System / Config / Backend / Dateiname.php
Methode getCacheId () und getServiceUrl () hinzugefügt
Methode unserialize () hinzugefügt
Verwenden Sie die Methode getServiceUrl (), die in app / code / core / Mage / Api / Helper / Data.php erstellt wurde
Verwenden Sie die Methode getCacheId (), die in app / code / core / Mage / Api / Helper / Data.php erstellt wurde
Verwendet die obige
unserialize()
Methode, die in app / code / core / Mage / Core / Helper / String.php erstellt wurdeKommentaränderung
Kommentar hinzugefügt
Maximale Passwortlänge hinzugefügt
Erlaube Dateierweiterung hinzugefügt // $ _ allowedFileExtensions = array ('log', 'txt', 'html', 'csv');
Ich weiß nicht, was sich ändert
Issue-Liste
SUPEE-10415 verhindert die Korbkontrolle
erhalte den fehlercode # 10415 in paypal in magento
quelle
Wenn Sie dies unter Magento EE 1.13.0.2 versuchen und es scheint, dass dieser Patch nicht gut funktioniert, wenn SUPEE-6482 installiert ist.
SUPEE-6482 hat die Zeile mit
$phpAuthUser
zu geändertquelle
$phpAuthUser
der Abstand zwischen den Zeilen->setUseSession(false);
war falsch