Die Magento-Sicherheitspatches sehen aus wie .sh
Dateien. Wie würde jemand diese Patches ohne SSH-Zugriff auf seine Magento-Installationen anwenden?
Sind diese Patches auch kumulativ? IE: Werden sie in einer zukünftigen Version von Magento enthalten sein oder müssen sie erneut angewendet werden?
Ich stelle diese Frage, weil ich mich in meinem Admin-Bereich angemeldet habe und eine kritische Sicherheitswarnung erhalten habe:
Laden Sie 2 wichtige Sicherheitspatches ( SUPEE-5344 und SUPEE-1533 ) von der Magento Community Edition-Downloadseite ( https://www.magentocommerce.com/products/downloads/magento/ ) herunter und implementieren Sie sie .
Wenn Sie dies noch nicht getan haben, laden Sie zwei zuvor veröffentlichte Patches herunter und installieren Sie sie, um zu verhindern, dass ein Angreifer Code auf Magento-Software remote ausführt. Diese Probleme betreffen alle Versionen von Magento Community Edition.
Eine Pressemitteilung von Check Point Software Technologies in den kommenden Tagen wird eines dieser Probleme weithin bekannt machen und möglicherweise Hacker alarmieren, die versuchen könnten, es auszunutzen. Stellen Sie sicher, dass die Patches vorbeugend installiert sind, bevor das Problem veröffentlicht wird.
und dies ab dem 14. Mai 2015 :
Es ist wichtig, dass Sie einen neuen Sicherheitspatch ( SUPEE-5994 ) von der Magento Community Edition-Downloadseite ( https://www.magentocommerce.com/products/downloads/magento/ ) herunterladen und installieren . Wenden Sie dieses wichtige Update sofort an, um Ihre Site vor mehreren Sicherheitslücken zu schützen, die sich auf alle Versionen der Magento Community Edition-Software auswirken. Bitte beachten Sie, dass dieser Patch zusätzlich zum aktuellen Shoplift-Patch (SUPEE-5344) installiert werden sollte.
Ich habe auch folgende E-Mail erhalten:
Sehr geehrter Magento-Händler,
Um die Magento-Plattform vor potenziellen Angriffen zu schützen, veröffentlichen wir heute einen neuen Patch (SUPEE-5994) mit mehreren kritischen Sicherheitskorrekturen. Der Patch behebt eine Reihe von Problemen, einschließlich Szenarien, in denen Angreifer auf Kundeninformationen zugreifen können. Diese Sicherheitslücken wurden durch unser Multi-Point-Sicherheitsprogramm beseitigt. Wir haben keine Berichte erhalten, dass Händler oder deren Kunden von diesen Problemen betroffen sind.
Alle Versionen der Magento Community Edition-Software sind betroffen. Wir empfehlen dringend, dass Sie mit Ihrem Solution Partner oder Entwickler zusammenarbeiten, um diesen wichtigen Patch sofort bereitzustellen. Bitte beachten Sie, dass dieser Patch zusätzlich zum aktuellen Shoplift-Patch (SUPEE-5344) installiert werden sollte. Weitere Informationen zu den Sicherheitsproblemen finden Sie im Anhang des Magento Community Edition-Benutzerhandbuchs.
Sie können den Patch von der Community Edition-Downloadseite herunterladen. Suchen Sie nach dem SUPEE-5994-Patch. Der Patch ist für die Community Edition 1.4.1– 1.9.1.1 verfügbar.
Stellen Sie sicher, dass Sie den Patch zunächst in einer Entwicklungsumgebung implementieren und testen, um sicherzustellen, dass er wie erwartet funktioniert, bevor Sie ihn an einem Produktionsstandort bereitstellen. Informationen zum Installieren von Patches auf Magento Community Edition finden Sie online.
Vielen Dank für Ihre Aufmerksamkeit zu diesem Thema.
UPDATE 7. JULI - 2015
7. Juli 2015: Neuer Magento-Sicherheitspatch ( SUPEE-6285 ) - Sofortige Installation
Heute stellen wir einen neuen Sicherheitspatch ( SUPEE-6285 ) zur Verfügung, der kritische Sicherheitslücken behebt . Der Patch ist für Community Edition 1.4.1 bis 1.9.1.1 verfügbar und Teil des Kerncodes unserer neuesten Version, Community Edition 1.9.2, die heute zum Download zur Verfügung steht. BITTE BEACHTEN SIE : Sie müssen zuerst SUPEE-5994 implementieren , um sicherzustellen , dass SUPEE-6285 ordnungsgemäß funktioniert. Laden Sie Community Edition 1.9.2 oder den Patch von der Community Edition-Downloadseite herunter: https://www.magentocommerce.com/products/downloads/magento/
UPDATE 4. AUGUST - 2015
4. August 2015: Neuer Magento-Sicherheitspatch ( SUPEE-6482 ) - Sofortige Installation
Heute stellen wir einen neuen Sicherheitspatch ( SUPEE-6482 ) zur Verfügung, der vier Sicherheitsprobleme behebt . Zwei Probleme im Zusammenhang mit APIs und zwei Cross-Site-Scripting-Risiken. Der Patch ist für Community Edition 1.4 und spätere Versionen verfügbar und Teil des Kerncodes von Community Edition 1.9.2.1, der heute zum Download zur Verfügung steht. Bevor Sie diesen neuen Sicherheitspatch implementieren, müssen Sie zuerst alle vorherigen Sicherheitspatches implementieren. Laden Sie Community Edition 1.9.2.1 oder den Patch von der Community Edition-Downloadseite unter https://www.magentocommerce.com/products/downloads/magento/ herunter.
UPDATE 27. OKTOBER - 2015
27. Oktober 2015: Neuer Magento-Sicherheitspatch ( SUPEE-6788 ) - Sofortige Installation
Heute veröffentlichen wir einen neuen Patch ( SUPEE-6788 ) und Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 zur Behebung von mehr als 10 Sicherheitsproblemen, darunter Sicherheitslücken in Bezug auf Remotecodeausführung und Informationslecks. Dieser Patch hat nichts mit dem Malware- Problem von Guruincsite zu tun . Stellen Sie sicher, dass Sie den Patch zuerst in einer Entwicklungsumgebung testen, da dies Auswirkungen auf Erweiterungen und Anpassungen haben kann. Laden Sie den Patch von der Community Edition-Download-Seite / dem Enterprise Edition-Support-Portal herunter und erfahren Sie mehr unter http://magento.com/security/patches/supee-6788 .
UPDATE 20. JANUAR - 2016
Wichtig: Neuer Sicherheitspatch ( SUPEE-7405 ) und Release - 20.01.2016
Heute veröffentlichen wir einen neuen Patch ( SUPEE-7405 ) und die Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 , um die Sicherheit von Magento-Sites zu verbessern . Es gibt keine bestätigten Angriffe im Zusammenhang mit Sicherheitsproblemen, aber bestimmte Schwachstellen können möglicherweise ausgenutzt werden, um auf Kundeninformationen zuzugreifen oder Administratorsitzungen zu übernehmen. Sie können den Patch und die Freigabe von der Community Edition-Download-Seite / MyAccount herunterladen und unter https://magento.com/security/patches/supee-7405 mehr erfahren .
UPDATE 23. FEBRUAR - 2016
Aktualisierte Versionen des SUPEE7405-Patches sind jetzt verfügbar. Die Updates bieten Unterstützung für PHP 5.3 und beheben Probleme mit Upload-Dateiberechtigungen, dem Zusammenführen von Warenkörben und SOAP-APIs, die mit der ursprünglichen Version aufgetreten sind. Sie behandeln KEINE neuen Sicherheitsprobleme. Sie können den Patch und die Freigabe von der Community Edition-Download-Seite / MyAccount herunterladen und unter https://magento.com/security/patches/supee-7405 mehr erfahren .
quelle
curl
oderwget
- irgendwie dumm, dass Sie sich auf der Downloadseite anmelden, die Datei herunterladen, die Datei auf die Site übertragen und sie dann anwenden müssen.__PATCHFILE_FOLLOWS__
. Dies bedeutet, dass Sie diesen Inhalt aus der Datei kopieren und in eine neue Datei mit der.patch
Erweiterung einfügen können. Dann verwenden Sie einfachgit apply
, um es anzuwenden.Antworten:
Manuelles Anwenden von Patches ohne SSH-Zugriff
Sie haben hier einen guten Punkt. Die Patches werden als
.sh
Dateien geliefert und es gibt keine Lösung, die von Magento nur für FTP-Websites angeboten wird.Ich schlage vor, man kopiert den Code seiner Website über FTP in eine lokale Umgebung (wahrscheinlich haben Sie das schon). Wenden Sie dann den Patch an, indem Sie die
.sh
Datei ausführen.Jetzt müssen Sie herausfinden, welche Dateien Sie erneut hochladen müssen. Wenn Sie die
.sh
Patch-Datei öffnen möchten , sehen Sie, dass sie aus zwei Abschnitten besteht:__PATCHFILE_FOLLOWS__
Im zweiten Abschnitt können Sie nachlesen, welche Dateien vom Patch betroffen waren / sind. Sie müssen diese Dateien erneut auf Ihren FTP-Server hochladen oder ... Sie können einfach alles hochladen.
Manuelles Auftragen ohne Bash / Shell
.sh
Dateien ausführen können (unter Windows), können Sie den zweiten Abschnitt des Patches (den einheitlichen Patch ) extrahieren und ihn manuell mit einem Patch-Tool (oder beispielsweise über PHPStorm ) anwenden .Patches in aktuellen und zukünftigen Releases?
Die derzeit veröffentlichten Patches gelten für alle bereits veröffentlichten Versionen. Natürlich könnte Magento eine neue Version (Dur oder Moll) veröffentlichen. Dann enthalten sie alle Sicherheitspatches, da Magento die Patches natürlich auch auf ihre Entwicklungscodebasis anwendet (diese Patches stammen sogar von dieser Codebasis;)).
UPDATE :
Jeder letzte Patch Magento hat auch neue Versionen von Magento CE und EE veröffentlicht, die bereits den jeweils neuesten Patch enthalten. Weitere Informationen finden Sie auf der Magento-Downloadseite auf der Registerkarte Release Archive .
Überprüfen Sie auf dieser von JH verwalteten Seite, welche Patches für welche Magento CE- und EE-Version installiert werden müssen: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M
quelle
Leider gibt es keine "einfache" Möglichkeit, diese Patches ohne Shell-Zugriff zu installieren, aber es gibt zwei Möglichkeiten, dies zu tun.
Installieren Sie den Patch über PHP
Installieren Sie den Patch manuell
Die .sh-Datei enthält einen 'DIFF'-Patch. Diese zeigen, welche Linien entfernt und hinzugefügt wurden. Obwohl ich es nicht rate, sollten Sie in der Lage sein, die Dateien manuell über FTP herunterzuladen, diese Dateien in einem Editor Ihrer Wahl zu bearbeiten und sie dann erneut über FTP hochzuladen. Das Format ist nicht zu schwer zu interpretieren , daher können Sie dies für alle Dateien tun und sollten nicht länger als ein paar Minuten dauern.
quelle
In meinem Fall verwende ich bitbucket für die Versionspflege und lebe meine Änderungen nur über bitBucket.
Wenn ich also die Patches anwende, wende ich diesen Patch in meinem lokalen System an und teste alle Dinge. dass meine website funktioniert.
und drücke alle chnages nach bitbucket und ziehe am live standort alle änderungen und mein patch wird angewendet.
In dem Fall, was Sie tun, wenn Sie keinen SSH-Zugang haben, ist
1) Patch in local anwenden und Änderungen in bitbucket übertragen. Bitbucket teilt Ihnen mit, welche Dateien seit dem letzten Festschreiben geändert wurden.
2) Laden Sie diese Datei manuell über FTP hoch und Ihr Patch wird angewendet.
quelle
Anwenden von Magento-Patches über FTP / sFTP oder FileManager / File Upload.
quelle
Ich glaube nicht, dass dies ohne SSH-Zugriff möglich ist, aber Sie können immer ein SSH-Konto auf dem cpanel oder einem anderen Panel erstellen, und es besteht eine große Chance, dass Sie die Tutorials zum Erstellen eines SSH-Kontos von Ihrem Hosting finden Unternehmen googeln Sie einfach den "Namen Ihres Hosting-Unternehmens + SSH-Erstellung".
quelle
Laden Sie die Patches herunter (Eigentlich nur 1, da 1 für EE und das andere für CE ist).
cp -r public_html backup (public_html durch vollständige Magento-Installation ersetzen)
FTPen Sie den Patch zuerst in das Backup-Verzeichnis und überprüfen Sie, ob alles in Ordnung ist, indem Sie ihn auf dem Backup ausführen. Sh patchname.sh
Alles ok? FTPen Sie den Patch auf Ihre eigentliche Installation und führen Sie ihn aus
http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html
Das Handbuch rät außerdem: "So weisen Sie den Besitz der durch den Patch geänderten Dateien erneut zu: Suchen Sie den Webserver-Benutzer: ps -o" Benutzergruppenbefehl "-C httpd, apache2 Der Wert in der Spalte USER ist der Benutzername des Webservers. Der Apache-Webserver-Benutzer unter CentOS ist Apache und der Apache-Webserver-Benutzer unter Ubuntu ist www-data. Geben Sie als Benutzer mit Root-Rechten den folgenden Befehl aus dem Magento-Installationsverzeichnis ein: chown -R Webserver-Benutzername. Geben Sie beispielsweise unter Ubuntu, wo Apache normalerweise als WWW-Daten ausgeführt wird, chown -R WWW-Daten ein.
Den Befehl ps als root ausführen, ich habe nur root als Benutzer und lief chown -R root und buggered meine Installation, ich habe es erneut mit dem Benutzernamen des Benutzerkontos ausgeführt, auf dem es installiert ist und alles war gut
quelle