SUPEE-10888 ist ein neuer Sicherheitspatch für Magento 1, der 12 Sicherheitsprobleme behebt.
https://magento.com/security/patches/supee-10888
SUPEE-10888, Magento Commerce 1.14.3.10 und Open Source 1.9.3.10 enthalten mehrere Sicherheitsverbesserungen, mit denen Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) und andere Sicherheitslücken geschlossen werden können.
Den Patch finden Sie unter https://magento.com/tech-resources/download#download2243
Auf welche allgemeinen Probleme müssen Sie achten, wenn Sie diesen Patch anwenden?
magento-1
patches
security
supee-10888
Luke Rodgers
quelle
quelle
Antworten:
Die folgenden Dateien wurden geändert / erstellt, nachdem der Patch angewendet wurde
quelle
In den ursprünglichen v1-Patches mit
2018-09-18
dem Dateinamen:Magento hat dieses Problem unbemerkt behoben, indem neue Patch-Dateien veröffentlicht wurden. Immer noch
v1
aber mit2018-09-19
im Dateinamen.quelle
diff --git skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg
und alle folgenden Zeilen beginnende Zeile aus der Patch-Datei entfernt wirdProblem mit dem Patch
PATCH_SUPEE-10888_CE_v1.9.0.1_v1-2018-09-18-02-54-39.sh
auf Vanilla Magento 1.8.1.0, mit allen zuvor installierten Patches:Tatsächlich existiert die Datei
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
in 1.8.1.0 nicht, daher habe ich diese Änderung aus der Patch-Datei entfernt.Dies ist mir mit der aktualisierten
2018-09-19
Version des Patches nicht gelungen . ErstPATCH_SUPEE-10888_CE_v1.8.1.0_v1-2018-09-18-02-54-39
nach dem Entfernen derthumbnail.jpg
Änderung, wie in meinem Kommentar unter /magento//a/242823/13642 erläutert , war die Datei erfolgreichquelle
SUPEE-10888 for CE 1.8.1.0-1.9.0.1 (0.06 MB)
Wenn Sie ein benutzerdefiniertes Thema verwenden und Ihr Thema eine der folgenden Dateien überschreibt, müssen Sie Änderungen manuell in Ihr Thema einfügen
Zum Beispiel, wenn Sie hinzugefügt haben
In Ihrem Theme müssen Sie dann Änderungen manuell in vornehmen
Zum Beispiel Finden Sie diese Zeile
und durch unten ersetzen
quelle
Wie in /magento//a/243531/142 beschrieben , müssen Sie alle Ihre benutzerdefinierten Frontend-Vorlagendateien überprüfen und die Änderungen aus dem dortigen Patch manuell übernehmen.
Außerdem müssen Sie Ihre
account_password_reset_confirmation.html
E-Mail-Vorlage überprüfen . Abhängig von Ihrem Geschäft, entweder unterapp/locale/[LANG]/template/email/
oder im Backend unter System> Transaktions-E-Mails für alle Sprachen. In allen entsprechenden Vorlagen, müssen Sie ändern_query_id=$customer.id
zu_query_id=$customer.rp_customer_id
. Die Änderung wurde abwärtskompatibel implementiert. Wenn Sie jedoch alle Sicherheitsverbesserungen einbeziehen möchten, sollten Sie diese Änderung nicht verpassen.quelle
Heute Morgen habe ich den Patch angewendet. Die Hauptdateien befinden sich im Magento-Backend.
Escapehtml fügte Dateien hinzu
In Magento Commerce wurden andere als die oben genannten Dateien hinzugefügt:
Ich habe bis jetzt keine Probleme.
quelle
In Magento EE 1.13.1.0
Patch sucht nach falscher Datei (Community-Datei, glaube ich).
Musste diese Zeilen aus der Patch-Datei löschen und anwenden. Es wurde erfolgreich angewendet.
Haben das Magento-Kernteam benachrichtigt, aber noch kein Feedback erhalten.
quelle
Das Formular zum Zurücksetzen des Kennworts funktioniert nicht mehr, nachdem der Patch auf CE 1.7.0.2 mit allen zuvor installierten Patches installiert wurde.
(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-18-03-00-22.sh)
BEARBEITEN:
Nach dem Zurücksetzen des Patches vom 18. September (v1) und dem Anwenden des aktualisierten Patches vom 19. September (v1) + Cache-Aktualisierung und Löschen des Magento-Cache tritt kein Problem mehr auf.
(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-19-03-01-22.sh)
quelle
Danke, Robb für den Hinweis.
SUPEE-10752 musste angewendet werden. Ich habe auch den PHP 7.2-Kompatibilitätspatch angewendet und den Inchoo_PHP7-Kompatibilitätspatch vor der Installation von SUPEE-10888 entfernt. Hat problemlos funktioniert.
quelle
Magento CE 1.6.2.0
Der folgende Fehler tritt auf, sobald der Patch angewendet wird, wenn versucht wird, das Kundenkontokennwort im Frontend zurückzusetzen.
Schwerwiegender Fehler: Aufruf einer Member-Funktion getBackend () für ein Nicht-Objekt in app / code / core / Mage / Eav / Model / Entity / Abstract.php in Zeile 1536.
Es stellte sich heraus, dass der Patch das SQL-Upgrade-Skript (app / code / core / Mage / Customer / sql / customer_setup / upgrade-1.6.1.0.1.2-1.6.1.0.1.3.php), das ein neues Attribut namens erstellt hat, nicht ausgeführt hat rp_customer_id.
Stellen Sie sicher, dass Sie den Magento-Cache geleert haben. Noch wichtiger ist jedoch, dass Sie ihn löschen, wenn Sie den Lack-Cache aktiviert haben. Nachdem ich den gesamten Cache deaktiviert und den Lackcache bereinigt hatte, erstellte das SQL-Skript das neue Attribut in der Datenbank.
quelle
Im Patch für 1.14.2.0 bis 1.14.2.4 wurde ein kleiner Tippfehler gefunden
In der Datei
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml
werden fälschlicherweise folgende Änderungen vorgenommen:<dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt>
anstatt
<dt><?php echo $this->escapeHtml($this->getLinksTitle()); ?></dt>
Hier ist das Diff als Referenz:
diff --git app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml index 6ed3cd9bfd4..f8b1573605a 100644 --- app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml +++ app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml @@ -55,7 +55,7 @@ <!-- downloadable --> <?php if ($links = $this->getLinks()): ?> <dl class="item-options"> - <dt><?php echo $this->getLinksTitle() ?></dt> + <dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt> <?php foreach ($links->getPurchasedItems() as $link): ?> <dd><?php echo $this->escapeHtml($link->getLinkTitle()); ?></dd> <?php endforeach; ?>
quelle
Es ist ein Tippfehler im Inneren
/app/code/core/Mage/Core/etc/system.xml
an<crate_admin_user_notification translate="label comment">
es sein sollte ,<create_admin_user_notification translate="label comment">
aber es ist nicht Bruch , weil die Verbräuche auch falsch geschrieben wird beiif(Mage::getStoreConfigFlag('admin/security/crate_admin_user_notification')
quelle
Derzeit scheitert hier auf Magento CE 1.9.1.0.
Eine visuelle Überprüfung der Quelldateien bestätigt, dass der entsprechende Code nicht vorhanden ist.
...
Wie angegeben, gibt es keine solche Datei.
quelle
Nur eine Information für EE-Benutzer, da für diesen Patch SUPEE-10752 erforderlich ist , dass einige Sitzungen nach dem Zufallsprinzip oder Ihr Checkout statt auf der Erfolgsseite auf die Startseite umgeleitet wird.
Wir haben die folgenden Patches in der üblichen Reihenfolge angewendet:
Der Patch SUPEE-10752 für EE enthält jedoch die folgenden Änderungen: app / code / core / mage / core / model / session / abstract / varien.php
Ich musste am letzten Teil den invalid_session_fix-2018-03-14-05-10-19.patch anwenden, der unten in https://magento.com/tech-resources/download unter SUPEE-10570 > invalid_session_fix.patch zu finden ist (0 MB)
quelle
Ich habe bei einigen Kunden ein Problem festgestellt, bei dem sie uns anrufen und sich nicht anmelden und ihr Konto nicht anzeigen können.
Die E-Mail-Adresse und das Passwort sind korrekt - keine Anmeldefehlermeldung, die Seite wird nur auf die Startseite oder Anmeldeseite geladen, sie scheinen nicht in ihr Konto zu gelangen! Dies geschah nach dem Anwenden des Patches 10888, und wir haben 10752 angewendet.
Nach dem Graben habe ich in der Tabelle gefunden
customer_entity
, und es hat mich entzündet, dass die betroffenen Kunden einen Zeitstempel voncreated_date
NACH dem habenupdated_date
. Ich denke, es sollte nicht so sein, oder?Zum Testen habe ich das Erstellungsdatum sogar um eine Minute VOR dem Aktualisierungsdatum geändert. Für einige Benutzer half dies allein ihnen, wieder in ihre Konten zurückzukehren. Während für andere Benutzer ich auch ihr Passwort über SQL aktualisieren musste, mit Abfrage:
Ich muss die Änderungen, die SUPEE 10888 an den Kerndateien des Kunden vornimmt, nicht vollständig untersuchen, aber es gibt definitiv Probleme mit dem Patch.
Außerdem kann ich das Kundenpasswort scheinbar nicht über das Admin-Panel aktualisieren, da beim Speichern der Seite normalerweise ein Fehler auftritt.
Verwenden von 1.9.2.4
quelle
Ich benutze Magento 1.9.3.7. Os ist Ubuntu. PHP-Version ist 7.0.
Wenn versucht wird, den Pfad SUPPER-10888 anzuwenden, wird der Fehler unterschritten.
FEHLER: Patch kann nicht erfolgreich angewendet / zurückgesetzt werden.
Das Überprüfen der Datei app / code / core / Mage / Admin / Model / User.php Hunk # 2 war bei 676 erfolgreich (Versatz -20 Zeilen). Datei prüfen app / code / core / Mage / Admin / etc / config.xml Datei prüfen app / code / core / Mage / Adminhtml / Block / Catalog / Product / Edit / Tab / Super / Config.php Datei prüfen app / code / core / Mage / Adminhtml / Blockieren / Widget / Grid / Massaction / Abstract.php Überprüfung der Datei app / code / core / Mage / Adminhtml / Modell / LayoutUpdate / Validator.php Hunk # 2 um 57 gescheitert. Hunk # 3 um 80 erfolgreich ( Offset -12 Zeilen). Hunk # 4 war bei 115 mit Fuzz 2 (Offset -12 Zeilen) erfolgreich. Hunk # 5 war mit Fuzz 1 (Offset -21 Zeilen) bei 139 erfolgreich. Hunk # 6 war bei 161 erfolgreich (Offset -21 Zeilen). 1 von 6 Hunks hat die Prüfung der Datei app / code / core / Mage / Adminhtml / controller / Catalog / ProductController.php fehlgeschlagen. Hunk # 1 war bei 1020 erfolgreich (Versatz -11 Zeilen). Überprüfung der Datei app / code / core / Mage / Adminhtml / controller / Permissions / UserController.php Überprüfung der Datei app / code / core / Mage / Adminhtml / etc / config.xml Überprüfung der Datei app / code / core / Mage / Checkout / Model / Api / Resource / Customer.php Hunk # 1 war mit Fuzz 1 (Offset -1 Zeilen) bei 151 erfolgreich. Überprüfung der Datei app / code / core / Mage / Checkout / Model / Type / Onepage.php Hunk # 1 war bei 731 mit Fuzz 1 erfolgreich (Offset -3 Zeilen). Datei App / Code / Core / Mage / Cms / Model / Wysiwyg / Images / Storage.php prüfen Datei App / Code / Core / Mage / Core / etc / config.xml prüfen Datei App / Code / Core / Mage / Core / etc / system.xml prüft die Datei app / code / core / Mage / Customer / Helper / Data.php prüft die Datei app / code / core / Mage / Customer / Model / Customer.php prüft die Datei app / code / core / Mage / Customer /Model/Resource/Customer.php Hunk # 1 war bei 332 erfolgreich (Offset -1 Zeilen). Überprüfung der Datei app / code / core / Mage / Customer / controller / AccountController.php Hunk # 1 war bei 755 erfolgreich (Versatz -1 Zeilen). Hunk # 2 war bei 810 erfolgreich (Versatz -1 Zeilen). Hunk # 3 fehlgeschlagen bei 871. Hunk # 4 erfolgreich bei 883 (Offset -2 Zeilen). 1 von 4 Hunks hat die Datei-App / code / core / Mage / Customer / etc / config.xml nicht überprüft. customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php prüft die Datei app / code / core / Mage / Paypal / Model / Express / Checkout.php prüft die Datei app / code / core / Mage / XmlConnect / controller / ReviewController.php kann die zu patchende Datei in Eingabezeile 600 nicht finden. Vielleicht haben Sie die falsche Option -p oder --strip verwendet? Hunk # 4 war bei 883 erfolgreich (Offset -2 Zeilen). 1 von 4 Hunks hat die Datei-App / code / core / Mage / Customer / etc / config.xml nicht überprüft. customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php prüft die Datei app / code / core / Mage / Paypal / Model / Express / Checkout.php prüft die Datei app / code / core / Mage / XmlConnect / controller / ReviewController.php kann die zu patchende Datei in Eingabezeile 600 nicht finden. Vielleicht haben Sie die falsche Option -p oder --strip verwendet? Hunk # 4 war bei 883 erfolgreich (Offset -2 Zeilen). 1 von 4 Hunks hat die Datei-App / code / core / Mage / Customer / etc / config.xml nicht überprüft. customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php prüft die Datei app / code / core / Mage / Paypal / Model / Express / Checkout.php prüft die Datei app / code / core / Mage / XmlConnect / controller / ReviewController.php kann die zu patchende Datei in Eingabezeile 600 nicht finden. Vielleicht haben Sie die falsche Option -p oder --strip verwendet?
Der Text, der dazu führte, war:
| diff --git app / code / core / Zend / Filter / PregReplace.php app / code / core / Zend / Filter / PregReplace.php | index 586c0fe20a0..d6fa2dac0ec 100644 | --- app / code / core / Zend / Filter / PregReplace.php
| +++ app / code / core / Zend / Filter / PregReplace.php
Zu patchende Datei: Diesen Patch überspringen? [y] Patch überspringen. 2 von 2 Hunks ignorierten die Prüfung der Datei app / design / adminhtml / default / default / template / bundle / product / edit / bundle / option.phtml Hunk # 1 um 209 gescheitert. 1 von 1 Hunk scheiterte die Prüfung der Datei app / design / adminhtml / default / default / template / bundle / sales / creditmemo / create / items / renderer.phtml-prüfdatei app / design / adminhtml / default / default / template / bundle / sales / creditmemo / view / items / renderer.phtml-prüfdatei app / design / admin / default / default / template / bundle / sales / rechnung / create / items / renderer.phtml prüfdatei app / design / admin / default / default / template / bundle / sales / rechnung / view / items / renderer .phtml prüft die Datei app / design / adminhtml / default / default / template / bundle / sales / order / view / items / renderer.
Irgendeine Idee, was fehlt?
quelle