Kritische Erinnerung: Laden Sie Magento-Sicherheitspatches herunter und installieren Sie sie. (FTP ohne SSH-Zugang)

50

Die Magento-Sicherheitspatches sehen aus wie .shDateien. Wie würde jemand diese Patches ohne SSH-Zugriff auf seine Magento-Installationen anwenden?

Sind diese Patches auch kumulativ? IE: Werden sie in einer zukünftigen Version von Magento enthalten sein oder müssen sie erneut angewendet werden?

Ich stelle diese Frage, weil ich mich in meinem Admin-Bereich angemeldet habe und eine kritische Sicherheitswarnung erhalten habe:

Laden Sie 2 wichtige Sicherheitspatches ( SUPEE-5344 und SUPEE-1533 ) von der Magento Community Edition-Downloadseite ( https://www.magentocommerce.com/products/downloads/magento/ ) herunter und implementieren Sie sie .

Wenn Sie dies noch nicht getan haben, laden Sie zwei zuvor veröffentlichte Patches herunter und installieren Sie sie, um zu verhindern, dass ein Angreifer Code auf Magento-Software remote ausführt. Diese Probleme betreffen alle Versionen von Magento Community Edition.

Eine Pressemitteilung von Check Point Software Technologies in den kommenden Tagen wird eines dieser Probleme weithin bekannt machen und möglicherweise Hacker alarmieren, die versuchen könnten, es auszunutzen. Stellen Sie sicher, dass die Patches vorbeugend installiert sind, bevor das Problem veröffentlicht wird.

und dies ab dem 14. Mai 2015 :

Es ist wichtig, dass Sie einen neuen Sicherheitspatch ( SUPEE-5994 ) von der Magento Community Edition-Downloadseite ( https://www.magentocommerce.com/products/downloads/magento/ ) herunterladen und installieren . Wenden Sie dieses wichtige Update sofort an, um Ihre Site vor mehreren Sicherheitslücken zu schützen, die sich auf alle Versionen der Magento Community Edition-Software auswirken. Bitte beachten Sie, dass dieser Patch zusätzlich zum aktuellen Shoplift-Patch (SUPEE-5344) installiert werden sollte.

Ich habe auch folgende E-Mail erhalten:

Sehr geehrter Magento-Händler,

Um die Magento-Plattform vor potenziellen Angriffen zu schützen, veröffentlichen wir heute einen neuen Patch (SUPEE-5994) mit mehreren kritischen Sicherheitskorrekturen. Der Patch behebt eine Reihe von Problemen, einschließlich Szenarien, in denen Angreifer auf Kundeninformationen zugreifen können. Diese Sicherheitslücken wurden durch unser Multi-Point-Sicherheitsprogramm beseitigt. Wir haben keine Berichte erhalten, dass Händler oder deren Kunden von diesen Problemen betroffen sind.

Alle Versionen der Magento Community Edition-Software sind betroffen. Wir empfehlen dringend, dass Sie mit Ihrem Solution Partner oder Entwickler zusammenarbeiten, um diesen wichtigen Patch sofort bereitzustellen. Bitte beachten Sie, dass dieser Patch zusätzlich zum aktuellen Shoplift-Patch (SUPEE-5344) installiert werden sollte. Weitere Informationen zu den Sicherheitsproblemen finden Sie im Anhang des Magento Community Edition-Benutzerhandbuchs.

Sie können den Patch von der Community Edition-Downloadseite herunterladen. Suchen Sie nach dem SUPEE-5994-Patch. Der Patch ist für die Community Edition 1.4.1– 1.9.1.1 verfügbar.

Stellen Sie sicher, dass Sie den Patch zunächst in einer Entwicklungsumgebung implementieren und testen, um sicherzustellen, dass er wie erwartet funktioniert, bevor Sie ihn an einem Produktionsstandort bereitstellen. Informationen zum Installieren von Patches auf Magento Community Edition finden Sie online.

Vielen Dank für Ihre Aufmerksamkeit zu diesem Thema.

UPDATE 7. JULI - 2015

7. Juli 2015: Neuer Magento-Sicherheitspatch ( SUPEE-6285 ) - Sofortige Installation
Heute stellen wir einen neuen Sicherheitspatch ( SUPEE-6285 ) zur Verfügung, der kritische Sicherheitslücken behebt . Der Patch ist für Community Edition 1.4.1 bis 1.9.1.1 verfügbar und Teil des Kerncodes unserer neuesten Version, Community Edition 1.9.2, die heute zum Download zur Verfügung steht. BITTE BEACHTEN SIE : Sie müssen zuerst SUPEE-5994 implementieren , um sicherzustellen , dass SUPEE-6285 ordnungsgemäß funktioniert. Laden Sie Community Edition 1.9.2 oder den Patch von der Community Edition-Downloadseite herunter: https://www.magentocommerce.com/products/downloads/magento/

UPDATE 4. AUGUST - 2015

4. August 2015: Neuer Magento-Sicherheitspatch ( SUPEE-6482 ) - Sofortige Installation
Heute stellen wir einen neuen Sicherheitspatch ( SUPEE-6482 ) zur Verfügung, der vier Sicherheitsprobleme behebt . Zwei Probleme im Zusammenhang mit APIs und zwei Cross-Site-Scripting-Risiken. Der Patch ist für Community Edition 1.4 und spätere Versionen verfügbar und Teil des Kerncodes von Community Edition 1.9.2.1, der heute zum Download zur Verfügung steht. Bevor Sie diesen neuen Sicherheitspatch implementieren, müssen Sie zuerst alle vorherigen Sicherheitspatches implementieren. Laden Sie Community Edition 1.9.2.1 oder den Patch von der Community Edition-Downloadseite unter https://www.magentocommerce.com/products/downloads/magento/ herunter.

UPDATE 27. OKTOBER - 2015

27. Oktober 2015: Neuer Magento-Sicherheitspatch ( SUPEE-6788 ) - Sofortige Installation
Heute veröffentlichen wir einen neuen Patch ( SUPEE-6788 ) und Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 zur Behebung von mehr als 10 Sicherheitsproblemen, darunter Sicherheitslücken in Bezug auf Remotecodeausführung und Informationslecks. Dieser Patch hat nichts mit dem Malware- Problem von Guruincsite zu tun . Stellen Sie sicher, dass Sie den Patch zuerst in einer Entwicklungsumgebung testen, da dies Auswirkungen auf Erweiterungen und Anpassungen haben kann. Laden Sie den Patch von der Community Edition-Download-Seite / dem Enterprise Edition-Support-Portal herunter und erfahren Sie mehr unter http://magento.com/security/patches/supee-6788 .

UPDATE 20. JANUAR - 2016

Wichtig: Neuer Sicherheitspatch ( SUPEE-7405 ) und Release - 20.01.2016
Heute veröffentlichen wir einen neuen Patch ( SUPEE-7405 ) und die Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 , um die Sicherheit von Magento-Sites zu verbessern . Es gibt keine bestätigten Angriffe im Zusammenhang mit Sicherheitsproblemen, aber bestimmte Schwachstellen können möglicherweise ausgenutzt werden, um auf Kundeninformationen zuzugreifen oder Administratorsitzungen zu übernehmen. Sie können den Patch und die Freigabe von der Community Edition-Download-Seite / MyAccount herunterladen und unter https://magento.com/security/patches/supee-7405 mehr erfahren .

UPDATE 23. FEBRUAR - 2016

Aktualisierte Versionen des SUPEE7405-Patches sind jetzt verfügbar. Die Updates bieten Unterstützung für PHP 5.3 und beheben Probleme mit Upload-Dateiberechtigungen, dem Zusammenführen von Warenkörben und SOAP-APIs, die mit der ursprünglichen Version aufgetreten sind. Sie behandeln KEINE neuen Sicherheitsprobleme. Sie können den Patch und die Freigabe von der Community Edition-Download-Seite / MyAccount herunterladen und unter https://magento.com/security/patches/supee-7405 mehr erfahren .

SR_Magento
quelle
4
Interessant ist auch, dass sie ein Shell-Skript verwenden, um den Patch anzuwenden, aber keine URL zur Verwendung anbieten curloder wget- irgendwie dumm, dass Sie sich auf der Downloadseite anmelden, die Datei herunterladen, die Datei auf die Site übertragen und sie dann anwenden müssen.
Pspahn
5
Siehe auch: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 und überprüfen , ob alles fest ist hier über: shoplift.byte.nl
Jeroen
6
Erwähnenswert ist, dass alle Patches nur einen Standard-Git-Patch unterhalb der Linie enthalten __PATCHFILE_FOLLOWS__. Dies bedeutet, dass Sie diesen Inhalt aus der Datei kopieren und in eine neue Datei mit der .patchErweiterung einfügen können. Dann verwenden Sie einfach git apply, um es anzuwenden.
Jonathan Hussey
Hallo, es ist möglich, dass mehr als eine Patch-Datei in Magento installiert wird.
VijayS91,

Antworten:

35

Manuelles Anwenden von Patches ohne SSH-Zugriff

Sie haben hier einen guten Punkt. Die Patches werden als .shDateien geliefert und es gibt keine Lösung, die von Magento nur für FTP-Websites angeboten wird.

Ich schlage vor, man kopiert den Code seiner Website über FTP in eine lokale Umgebung (wahrscheinlich haben Sie das schon). Wenden Sie dann den Patch an, indem Sie die .shDatei ausführen.

Jetzt müssen Sie herausfinden, welche Dateien Sie erneut hochladen müssen. Wenn Sie die .shPatch-Datei öffnen möchten , sehen Sie, dass sie aus zwei Abschnitten besteht:

  1. Bash-Shell-Code zum Anwenden des Patches. Dieser Code gilt allgemein für jeden Patch.
  2. Der eigentliche Patch in Form eines einheitlichen Patch-Formats . Dies zeigt nur die Zeilen in Dateien an, die geändert wurden (einschließlich einiger Kontextzeilen). Dies beginnt unterhalb der Linie__PATCHFILE_FOLLOWS__

Im zweiten Abschnitt können Sie nachlesen, welche Dateien vom Patch betroffen waren / sind. Sie müssen diese Dateien erneut auf Ihren FTP-Server hochladen oder ... Sie können einfach alles hochladen.

Manuelles Auftragen ohne Bash / Shell

  1. Wenn Sie keine .shDateien ausführen können (unter Windows), können Sie den zweiten Abschnitt des Patches (den einheitlichen Patch ) extrahieren und ihn manuell mit einem Patch-Tool (oder beispielsweise über PHPStorm ) anwenden .
  2. Die Website Magentary.com bietet ZIP-Dateien für jede Magento-Version, die nur die gepatchten Dateien enthält.

Patches in aktuellen und zukünftigen Releases?

Die derzeit veröffentlichten Patches gelten für alle bereits veröffentlichten Versionen. Natürlich könnte Magento eine neue Version (Dur oder Moll) veröffentlichen. Dann enthalten sie alle Sicherheitspatches, da Magento die Patches natürlich auch auf ihre Entwicklungscodebasis anwendet (diese Patches stammen sogar von dieser Codebasis;)).

UPDATE :
Jeder letzte Patch Magento hat auch neue Versionen von Magento CE und EE veröffentlicht, die bereits den jeweils neuesten Patch enthalten. Weitere Informationen finden Sie auf der Magento-Downloadseite auf der Registerkarte Release Archive .

Überprüfen Sie auf dieser von JH verwalteten Seite, welche Patches für welche Magento CE- und EE-Version installiert werden müssen: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

7ochem
quelle
Hallo, es ist möglich, dass mehr als eine Patch-Datei in Magento installiert wird.
VijayS91,
danke @ 7ochem, es hat für mich +1 von meiner Seite geklappt ......
Baby in Magento
2
oder nutzen Sie automatische Updates mit dem Composer-Paket github.com/firegento/magento
Aleksey Razbakov
6
composer sollte sich niemals auf einem produktionsserver befinden. Zuerst führen Sie Composer aus, rufen aktualisierte Dateien ab und laden dann geänderte Dateien hoch. Level 2 soll das mit Jenkins machen.
Aleksey Razbakov
2
Richtig ... Bauen & Bereitstellen ... Aber wenn Sie FTP verwenden, sind Sie wahrscheinlich nicht davon begeistert. Wäre zu weit gefasst, um das auch in dieser Antwort vollständig zu erläutern. Wie man das einrichtet und wie man nur die geänderten / hinzugefügten / gelöschten Dateien hochlädt (verschiedene Versionen und Sachen).
7ochem
24

Leider gibt es keine "einfache" Möglichkeit, diese Patches ohne Shell-Zugriff zu installieren, aber es gibt zwei Möglichkeiten, dies zu tun.

Installieren Sie den Patch über PHP

  1. Verwenden Sie einen FTP-Client, um den spezifischen Patch in das Stammverzeichnis Ihres Magento-Ordners hochzuladen.
  2. Erstellen Sie eine PHP-Datei namens applypatch.php, die den Patch für Sie ausführt, und laden Sie ihn in das Stammverzeichnis Ihres Magento-Ordners hoch. Stellen Sie sicher, dass Sie hier den richtigen Patchnamen verwenden, wenn Sie den Patch für die Versionen 1.8.x-1.9.x nicht verwenden

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Besuchen Sie die Datei unter http://your.domain.com/applypatch.php und überprüfen Sie, ob die Ausgabe wie erwartet aussieht.

Installieren Sie den Patch manuell

Die .sh-Datei enthält einen 'DIFF'-Patch. Diese zeigen, welche Linien entfernt und hinzugefügt wurden. Obwohl ich es nicht rate, sollten Sie in der Lage sein, die Dateien manuell über FTP herunterzuladen, diese Dateien in einem Editor Ihrer Wahl zu bearbeiten und sie dann erneut über FTP hochzuladen. Das Format ist nicht zu schwer zu interpretieren , daher können Sie dies für alle Dateien tun und sollten nicht länger als ein paar Minuten dauern.

Cipriano Groenendal
quelle
3
Wenn ein Patch durch einfaches Bearbeiten der erforderlichen Dateien auf die neuen Versionen "angewendet" wird, werden zukünftige Patchversuche den Benutzer darüber informieren, dass er bereits gepatcht wurde?
Pspahn
4
Zumindest für SUPEE-5344 und SUPEE-1533 scheint es eine Art Protokoll zu geben, das in app / etc / applied.patches.list geschrieben wird. Gibt allgemeine Informationen darüber, was der Patch tatsächlich getan hat. Ich habe in Magentos Codebasis nach dieser Datei gesucht, aber sie hat nichts zurückgegeben, was bedeuten könnte, dass es möglicherweise keine Logik zum Verfolgen der angewendeten Patches gibt. SEITLICHER
HINWEIS
4
Diese Methode setzt voraus, dass der Webserver Schreibzugriff auf die Dateien hat. Wenn Sie diese Methode verwenden, vergewissern Sie sich ABSOLUT, dass Sie die Dauerwellen wieder auf den ursprünglichen Wert zurücksetzen, damit der Webserver nicht in die Dateien neben / media und / var schreiben kann
Kevin Schroeder
Es heißt "FEHLER:" / app / etc / "muss für die ordnungsgemäße Arbeit mit dem Werkzeug vorhanden sein." , bitte helfen Sie
Tahir Yasin
3

In meinem Fall verwende ich bitbucket für die Versionspflege und lebe meine Änderungen nur über bitBucket.

Wenn ich also die Patches anwende, wende ich diesen Patch in meinem lokalen System an und teste alle Dinge. dass meine website funktioniert.

und drücke alle chnages nach bitbucket und ziehe am live standort alle änderungen und mein patch wird angewendet.

In dem Fall, was Sie tun, wenn Sie keinen SSH-Zugang haben, ist

1) Patch in local anwenden und Änderungen in bitbucket übertragen. Bitbucket teilt Ihnen mit, welche Dateien seit dem letzten Festschreiben geändert wurden.

2) Laden Sie diese Datei manuell über FTP hoch und Ihr Patch wird angewendet.

Murtuza Zabuawala
quelle
2

Anwenden von Magento-Patches über FTP / sFTP oder FileManager / File Upload.

Methode 1 :-

Um Patches auf diese Weise anzuwenden, ersetzen wir einfach geänderte Dateien. Diese Methode kann nicht blind verwendet werden, wenn Sie oder Ihre Entwickler Kern-Magento-Dateien geändert haben (was übrigens ein großes No-No ist). Solche Änderungen sollten erneut auf gepatchte Dateien angewendet werden, oder Sie verlieren diese Änderungen.

Bitte besuchen Sie die folgenden URLs, um folgende Patches herunterzuladen: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Methode 2: -

Laden Sie die Patch-Datei unter https://magento.com/tech-resources/download#download1972 herunter. Laden Sie die Patch-Dateien im Stammverzeichnis von magento hoch.

Erstelle eine Datei mit dem Namen patch.php, schreibe folgenden Code hinein,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Sie führen patch.php über den Browser aus.

Wenn Sie Fehler wie diesen erhalten,

"Fehler! Einige erforderliche Systemtools, die in diesem sh-Skript verwendet werden, sind nicht installiert. Tool (s)" Patch "wird (werden) vermisst, bitte installieren Sie es (sie).

Das bedeutet, dass auf Ihrem Server keine Systemtools installiert sind, um das sh-Skript auszuführen.

Randhir Yadav
quelle
-2

Ich glaube nicht, dass dies ohne SSH-Zugriff möglich ist, aber Sie können immer ein SSH-Konto auf dem cpanel oder einem anderen Panel erstellen, und es besteht eine große Chance, dass Sie die Tutorials zum Erstellen eines SSH-Kontos von Ihrem Hosting finden Unternehmen googeln Sie einfach den "Namen Ihres Hosting-Unternehmens + SSH-Erstellung".

WebDudor
quelle
-3

Laden Sie die Patches herunter (Eigentlich nur 1, da 1 für EE und das andere für CE ist).

cp -r public_html backup (public_html durch vollständige Magento-Installation ersetzen)

FTPen Sie den Patch zuerst in das Backup-Verzeichnis und überprüfen Sie, ob alles in Ordnung ist, indem Sie ihn auf dem Backup ausführen. Sh patchname.sh

Alles ok? FTPen Sie den Patch auf Ihre eigentliche Installation und führen Sie ihn aus

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

Das Handbuch rät außerdem: "So weisen Sie den Besitz der durch den Patch geänderten Dateien erneut zu: Suchen Sie den Webserver-Benutzer: ps -o" Benutzergruppenbefehl "-C httpd, apache2 Der Wert in der Spalte USER ist der Benutzername des Webservers. Der Apache-Webserver-Benutzer unter CentOS ist Apache und der Apache-Webserver-Benutzer unter Ubuntu ist www-data. Geben Sie als Benutzer mit Root-Rechten den folgenden Befehl aus dem Magento-Installationsverzeichnis ein: chown -R Webserver-Benutzername. Geben Sie beispielsweise unter Ubuntu, wo Apache normalerweise als WWW-Daten ausgeführt wird, chown -R WWW-Daten ein.

Den Befehl ps als root ausführen, ich habe nur root als Benutzer und lief chown -R root und buggered meine Installation, ich habe es erneut mit dem Benutzernamen des Benutzerkontos ausgeführt, auf dem es installiert ist und alles war gut

Gemütlich
quelle
Ich habe dieses PHP-Skript auch verwendet, um stattdessen Dateiberechtigungen
Cosy
3
Sie schlagen vor, eine Reihe von Befehlen über SSH auszuführen. Die Frage nach der OP ist „ wie dies ohne SSH zu tun?“ ...
7ochem
Ohp! Ich bitte Sie um Entschuldigung! Mein Fehler
Gemütliche