Kritik Hatırlatma: Magento güvenlik düzeltme eklerini indirip yükleyin. (SSH erişimi olmayan FTP)


50

Magento güvenlik yamaları .shdosya gibi görünüyor , birisi SSH'lerin Magento kurulumlarına erişimi olmadan bu yamaları nasıl uygular?

Ayrıca, bu yamalar kümülatif mi? IE: Magento'nun gelecekteki sürümüne dahil olacaklar mı yoksa yeniden başvurulanmaları mı gerekiyor?

Bu soruyu soruyorum çünkü yönetici panelime girdim ve kritik bir güvenlik uyarısı aldım:

Magento Community Edition indirme sayfasından ( https://www.magentocommerce.com/products/downloads/magento/ ) 2 önemli güvenlik düzeltme ekini ( SUPEE-5344 ve SUPEE-1533 ) indirin ve uygulayın .

Henüz yapmadıysanız, saldırganın Magento yazılımında uzaktan kod çalıştırmasını engelleyen önceden yayımlanmış 2 düzeltme ekini indirip yükleyin. Bu sorunlar, Magento Community Edition’ın tüm sürümlerini etkiler.

Gelecek günlerde Check Point Software Technologies tarafından yayınlanan bir basın bülteni, bu sorunlardan birini yaygınlaştırarak muhtemelen onu kullanmaya çalışabilecek korsanları uyaracaktır. Yayınlanmadan önce yamaların önleyici bir önlem olarak kullanıldığından emin olun.

ve bu, 14 Mayıs 2015 tarihi itibariyle :

Magento Topluluğu Sürümü indirme sayfasından ( https://www.magentocommerce.com/products/downloads/magento/ ) yeni bir güvenlik düzeltme ekini ( SUPEE-5994 ) indirip yüklemeniz önemlidir . Lütfen sitenizi Magento Community Edition yazılımının tüm sürümlerini etkileyen birden fazla güvenlik açığına maruz kalmaması için derhal uygulayın. Lütfen bu yamanın yeni Shoplift yamasına (SUPEE-5344) ek olarak yüklenmesi gerektiğini unutmayın.

Ayrıca aşağıdaki e-postayı da aldım:

Sevgili Magento Tüccarı,

Magento platformunu potansiyel saldırılara karşı daha da güvenli hale getirmek için, bugün çok sayıda kritik güvenlik düzeltmesi olan yeni bir yama (SUPEE-5994) piyasaya sürüyoruz. Yama, saldırganların müşteri bilgilerine erişebileceği senaryolar da dahil olmak üzere bir dizi sorunu ele alıyor. Bu güvenlik açıkları çok noktalı güvenlik programımız aracılığıyla toplandı ve bu sorunlardan etkilenen tüccarlar veya müşterileri hakkında hiçbir rapor almadık.

Magento Community Edition yazılımının tüm sürümleri etkilenir ve bu kritik düzeltme ekini hemen dağıtmak için Çözüm Ortağınızla veya geliştiricinizle birlikte çalışmanızı kesinlikle öneririz. Lütfen bu yamanın yeni Shoplift yamasına (SUPEE-5344) ek olarak yüklenmesi gerektiğini unutmayın. Güvenlik sorunları hakkında daha fazla bilgi Magento Community Edition kullanıcı kılavuzunun Ekinde bulunabilir.

Düzeltme ekini Community Edition indirme sayfasından indirebilirsiniz. SUPEE-5994 yamasını arayın. Yama, Topluluk Sürümü 1.4.1 - 1.9.1.1 için kullanılabilir.

Bir üretim alanına dağıtmadan önce beklendiği gibi çalıştığını doğrulamak için önce yamayı bir geliştirme ortamında uygulayıp test ettiğinizden emin olun. Magento Community Edition’a yama yükleme hakkında bilgi çevrimiçi olarak mevcuttur.

Bu konudaki dikkatiniz için teşekkür ederiz.

GÜNCELLEME 7 Temmuz 2015

7 Temmuz 2015: Yeni Magento Güvenlik Düzeltme Eki ( SUPEE-6285 ) - Hemen Kurun
Bugün, kritik güvenlik açıklarını gideren yeni bir güvenlik düzeltme eki ( SUPEE-6285 ) sunuyoruz . Bu yama, Topluluk Sürümü 1.4.1 - 1.9.1.1 için kullanılabilir ve bugün indirilebilecek en son sürüm olan Topluluk Sürümü 1.9.2'nin temel kodunun bir parçasıdır. LÜTFEN DİKKAT: SUPEE- 6285'in düzgün çalışmasını sağlamak için önce SUPEE-5994'ü uygulamanız gerekir. Topluluk Sürümü 1.9.2'yi veya Topluluk Sürümü indirme sayfasındaki yamayı indirin: https://www.magentocommerce.com/products/downloads/magento/

GÜNCELLEME 4 Ağustos 2015

4 Ağustos 2015: Yeni Magento Güvenlik Düzeltme Eki ( SUPEE-6482 ) - Hemen Kurun
Bugün 4 güvenlik sorununu gideren yeni bir güvenlik düzeltme eki ( SUPEE-6482 ) sunuyoruz ; API'ler ile ilgili iki sorun ve iki siteler arası komut dosyası çalıştırma riski. Bu yama, Topluluk Sürümü 1.4 ve sonraki sürümleri için kullanılabilir ve bugün indirilebilecek olan Topluluk Sürümü 1.9.2.1'in temel kodunun bir parçasıdır. Bu yeni güvenlik düzeltme ekini uygulamadan önce, önce tüm önceki güvenlik düzeltme eklerini uygulamanız gerekir. Community Edition 1.9.2.1'i ya da yamayı https://www.magentocommerce.com/products/downloads/magento/ adresindeki Community Edition indirme sayfasından indirin.

GÜNCELLEME EKİM 27 - 2015

27 Ekim 2015: Yeni Magento Güvenlik Düzeltme Eki ( SUPEE-6788 ) - Hemen Kurun
Bugün, 10+ güvenlik sorununu gidermek için yeni bir düzeltme eki ( SUPEE-6788 ) ve Topluluk Sürümü 1.9.2.2/Enterprise Edition 1.14.2.2 yayınlıyoruz. uzaktan kod yürütme ve bilgi sızıntısı açıkları. Bu düzeltme ekinin Guruincsite kötü amaçlı yazılım sorunuyla ilgisi yoktur . Eklentileri ve özelleştirmeleri etkileyebileceğinden, yamayı ilk önce bir geliştirme ortamında test ettiğinizden emin olun. Yamayı Topluluk Sürümü İndirme sayfasından / Kurumsal Sürüm Destek Portalı'ndan indirin ve http://magento.com/security/patches/supee-6788 adresinden daha fazla bilgi edinin .

GÜNCELLEME JAN 20 - 2016

Önemli: Yeni Güvenlik Düzeltme Eki ( SUPEE-7405 ) ve Yayını - 1/20/2016
Bugün, Magento sitelerinin güvenliğini artırmak için yeni bir düzeltme eki ( SUPEE-7405 ) ve Topluluk Sürümü 1.9.2.3 / Enterprise Sürümü 1.14.2.3 yayınlıyoruz . . Güvenlik sorunlarıyla ilgili onaylanmış hiçbir saldırı yoktur, ancak müşteri bilgilerine erişmek veya yönetici oturumlarını ele geçirmek için belirli güvenlik açıklarından yararlanılabilir. Düzeltme ekini indirebilir ve Topluluk Sürümü İndirme sayfasından / MyAccount sürümünden indirebilir ve https://magento.com/security/patches/supee-7405 adresinden daha fazla bilgi edinebilirsiniz .

GÜNCELLEME FEB 23 - 2016

SUPEE7405 yamasının güncellenmiş versiyonları şimdi mevcuttur. Güncellemeler PHP 5.3 için destek ekler ve orijinal sürümde deneyimli yükleme dosya izinleri, arabaları birleştirme ve SOAP API'leri ile ilgili sorunları giderir. Herhangi bir yeni güvenlik sorununu ele almazlar. Düzeltme ekini indirebilir ve Topluluk Sürümü İndirme sayfasından / MyAccount sürümünden indirebilir ve https://magento.com/security/patches/supee-7405 adresinden daha fazla bilgi edinebilirsiniz .


4
Ayrıca yamayı uygulamak için bir kabuk betiği kullanmaları ilginçtir, ancak kullanılacak URL'leri kullanmazlar curlveya wget- İndirme sayfasında oturum açmanız, dosyayı indirmeniz, dosyayı siteye FTP uygulamanız ve ardından uygulamanız için saçma bir uygulama.
pspahn

5
Ayrıca bakınız: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 ve her şeyin burada sabit olup olmadığını kontrol edin: shoplift.byte.nl
Jeroen

6
Yamaların hepsinin sadece çizginin altında standart bir git yama içerdiğini belirtmek gerekir __PATCHFILE_FOLLOWS__. Bu, bu içerikleri dosyadan kopyalayıp ekli yeni bir dosyaya ekleyebileceğiniz anlamına gelir .patch. O zaman sadece git applyuygulamak için kullanın .
Jonathan Hussey

Merhaba, Magento'ya birden fazla yama dosyası yüklenebilir ..?
VijayS91

Yanıtlar:


35

SSH erişimi olmayan yamaların manuel olarak uygulanması

Burada iyi bir noktaya değindin. Yamalar .shdosya olarak temin edilir ve Magento tarafından sadece FTP web siteleri için bir çözüm yoktur.

Birinin web sitesinin kodunu FTP yoluyla yerel bir ortama kopyalamasını öneririm (muhtemelen zaten bu kodun sahibiydi). Sonra .shdosyayı çalıştırarak yamayı uygulayın .

Şimdi hangi dosyaları tekrar yüklemeniz gerektiğini öğrenmeniz gerekiyor. .shYama dosyasını açarsanız, iki bölümden oluştuğunu göreceksiniz:

  1. Düzeltme ekini uygulamak için Bash kabuk kodu. Bu kod her yama için geneldir.
  2. Birleşik bir yama biçimi biçiminde gerçek yama . Bu sadece değiştirilen dosyalardaki satırları gösterir (bazı bağlam satırları dahil). Bu çizginin altında başlar__PATCHFILE_FOLLOWS__

İkinci bölümden hangi dosyaların yamadan etkilendiğini / etkilendiğini okuyabilirsiniz. Bu dosyaları tekrar FTP’nize yüklemeniz gerekir veya ... her şeyi yükleyebilirsiniz.

Bash / shell olmadan manuel olarak uygulama

  1. .shDosyaları çalıştıramazsanız (Windows'ta), yamanın ikinci bölümünü ( birleşik yama ) ayıklayabilir ve bir yama aracıyla (ya da örneğin PHPStorm aracılığıyla ) elle uygulayabilirsiniz .
  2. Magentary.com web sitesi , yalnızca yamalı dosyaları içeren her Magento sürümü için ZIP dosyaları sağlar.

Güncel ve gelecekteki sürümlerde yamalar var mı?

Şu anda serbest bırakılan yamalar, daha önce yayınlanmış olan tüm sürümler için geçerlidir. Elbette, Magento yeni bir sürüm yayınlayabilir (büyük veya küçük). Sonra, Magento, yamaları doğal olarak kendi geliştirme kod tabanlarına da uygulayacağı için tüm güvenlik yamalarını içereceklerdir (bu yamalar bu kod tabanından kaynaklanmaktadır;).

GÜNCELLEME :
Her son yama Magento ayrıca, belirli bir en son yamayı içeren yeni Magento CE ve EE versiyonlarını yayınladı. Bkz Bülteni Arşivi sekmeyi Magento indirme sayfasına .

Hangi Magento CE ve EE sürümünün yükleneceği hangi yamalar için JH tarafından sağlanan bu sayfayı kontrol edin: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M


Merhaba, Magento'ya birden fazla yama dosyası yüklenebilir ..?
VijayS91

teşekkürler @ 7ochem, benim tarafımdan benim için +1 çalıştı ......
Magento Baby


6
besteci asla üretim sunucusunda olmamalıdır. İlk önce besteciyi çalıştır, güncellenmiş dosyaları al, sonra değiştirilmiş dosyaları yükle. seviye 2 bunu jenkins ile yapmaktır.
Aleksey Razbakov

2
Doğru ... Yap & konuş ... Ama yine de, FTP kullanırken, muhtemelen bu değilsin. Bu cevabı da tam olarak açıklamak geniş olacaktır. Bu nasıl ayarlanır ve yalnızca değiştirilmiş / eklenmiş / silinmiş dosyalar nasıl yüklenir (farklı sürümler ve sayfalar).
7ochem

24

Ne yazık ki, bu yamaları kabuk erişimi olmadan kurmanın 'kolay' bir yolu yoktur, ancak bunu yapmanın iki yolu vardır.

Yamayı PHP ile yükleyin

  1. Belirli bir yamayı Magento klasörünüzün kök dizinine yüklemek için bir FTP istemcisi kullanın.
  2. Düzeltme ekini sizin için çalıştıracak bir PHP dosyası oluşturun ve Magento klasörünüzün kök dizinine yükleyin. Yamayı 1.8.x-1.9.x için kullanmazsanız, burada doğru yamanın adını kullandığınızdan emin olun.

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Http://etkialaniniz.com.tr/applypatch.php adresindeki dosyayı ziyaret edin ve çıktının beklendiği gibi görünüp görünmediğini kontrol edin.

Yamayı elle yükle

.Sh dosyası bir 'DIFF' yaması içeriyor. Bunlar hangi çizgilerin kaldırıldığını ve eklendiğini gösterir. Tavsiye etmeme rağmen, dosyaları FTP üzerinden manuel olarak indirebilir ve bu dosyaları seçtiğiniz düzenleyicide düzenleyebilir ve ardından bunları tekrar FTP üzerinden yeniden yükleyebilmelisiniz. Formatın yorumlanması zor değil , bu nedenle bunu tüm dosyalar için yapabilirsiniz ve birkaç dakikadan daha uzun sürmemelidir.


3
Bir yama sadece gerekli dosyaları yeni sürümlere düzenleyerek "uygularsa", gelecekte yama eklemeye çalışılması, kullanıcıya zaten eklenmiş olduğunu bildirir mi?
pspahn

4
En azından SUPEE-5344 ve SUPEE-1533 için, app / etc / application.patches.list dosyasına yazılmış bir tür log varmış gibi görünüyor. Yamanın gerçekte ne yaptığı hakkında genel bilgi verir. Magento'nun kod tabanında bu dosyaya atıfta bulunmak için bir grep yaptım, ancak uygulanan yamaları izlemek için hiçbir mantık bulunmayacağı anlamına gelen hiçbir şey döndürmedi. YAN NOT: Yamalar çekirdek kesmelerden
sparecycle 22:15

4
Bu yöntem, web sunucusunun dosyalara yazma erişimine sahip olmasını gerektirir. Bu yöntemi kullanırsanız, izinleri değiştirdiklerinden kesinlikle geri aldıklarından emin olun, böylece web sunucusu / media ve / var dışındaki dosyalara yazamaz
Kevin Schroeder

"HATA:" / app / etc / "uygun takım çalışması için var olmalı" diyor. , lütfen yardım
Tahir Yasin

3

Benim durumumda Bakım sürümü için bitbucket kullanıyorum ve değişikliklerimi sadece bitBucket ile gerçekleştiriyorum.

Öyleyse ne yapmalıyım? Yamaları uygularken, bu yamayı uygulayın Yerel sistemime ve her şeyi test edin. web sitem çalışıyor.

ve tüm chnages bitbucket ve canlı sitede tüm değişiklikleri çekin ve benim yama uygulanır.

Ssh erişiminiz yoksa ne yaparsanız

1) Yerel olarak yamayı uygulayın ve değişiklikleri bitbucket'e itin. Bitbucket, hangi dosyaların son işlemden sonra değiştirildiğini size söyler.

2) bu dosyayı FTP yoluyla manuel olarak yükleyin ve düzeltme ekiniz uygulanır.


2

Magento yamalarını FTP / sFTP veya FileManager / File Upload ile uygulamak.

Yöntem 1 :-

Yamaları bu şekilde uygulamak için sadece değiştirilen dosyaları değiştiririz. Siz veya geliştiricileriniz herhangi bir Magento dosyasını değiştirdiyse bu yol kullanılamaz (bu arada büyük bir hayır-hayır). Bu tür değişiklikler yamalı dosyalara yeniden uygulanmalıdır ya da bu değişiklikleri kaybedersiniz.

lütfen aşağıdaki yamaları indirmek için URL'leri ziyaret edin: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Yöntem 2: -

Yama dosyasını https://magento.com/tech-resources/download#download1972 adresine indirin . Magento kök dizinine yama dosyaları yükleyin.

Patch.php ismiyle bir dosya oluşturun, içine aşağıdaki kodu yazın,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Patch.php'yi tarayıcıdan çalıştırıyorsunuz.

Böyle bir hata ile karşılaşıyorsanız,

"Hata! Bu sh komut dosyasında kullanılan bazı gerekli sistem araçları yüklü değil; Araç (lar)" yama "(eksik), kaçırıldı, lütfen kurun (onları).

Bu, sh komut dosyasını çalıştırmak için sistem araçlarının sunucunuza yüklenmediği anlamına gelir.


-2

SSH erişimi olmadan bunu yapmanın mümkün olduğunu sanmıyorum, ancak cpanel'de veya sahip olduğunuz diğer panellerde her zaman bir SSH hesabı oluşturabilirsiniz ve Hosting'iniz tarafından bir SSH hesabı oluşturmak için öğreticiler bulma ihtimaliniz çok yüksektir. Şirket sadece "barındırma şirketinizin adı + ssh oluşturma" kelimesini google.


-3

Yamaları indirin (Aslında yalnızca 1, EE ve CE için diğeridir) 1 Önce hızlıca geri dönmenizi öneririm ....

cp -r public_html yedekleme (public_html dosyasını tam magento kurulumuyla değiştirin)

Düzeltme ekini önce yedekleme dizinine aktarın ve yedekleme için çalıştırarak tamam olduğunu kontrol edin .. sh patchname.sh

Her şey yolunda? Düzeltme ekini fiili kurulumunuza çalıştırın

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

kılavuz ayrıca "Düzeltme eki tarafından değiştirilen dosyalara sahipliği yeniden başvurmak için: Web sunucusu kullanıcısını bulun: ps -o" kullanıcı grubu komutu "-C httpd, apache2 KULLANICI sütunundaki değer, web sunucusu kullanıcı adıdır. CentOS'taki Apache web sunucusu kullanıcısı apache ve Ubuntu'daki Apache web sunucusu kullanıcısı www-data.Rap ayrıcalıklarına sahip bir kullanıcı olarak, Magento kurulum dizininden aşağıdaki komutu girin: chown -R web-server-user-name. Örneğin, Apache'nin genellikle www-data olarak çalıştığı Ubuntu'da "chown -R www-data" yazınız.

ps komutunu root olarak çalıştırdım, sadece kullanıcı olarak root aldım ve chown -R root koştum ve kurulumumu bozdum, tekrar yüklediğim kullanıcı hesabının kullanıcı adıyla koştum ve hepsi iyiydi


ben de temizleme dosya izinlerini yerine .. bu php script kullanılan magenmarket.com/news-and-blog/...
Rahat

3
Bir dizi komut çalıştırmanızı öneriyorsunuz, sanırım SSH üzerinden. OP'nin sorusu "
SSH'siz

OHP! Affınıza sığınırım! Benim
Rahat
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.