Nhắc nhở quan trọng: Tải xuống và cài đặt các bản vá bảo mật Magento. (FTP không có quyền truy cập SSH)


50

Các bản vá bảo mật Magento trông giống như chúng là .shcác tệp, làm thế nào một người nào đó sẽ áp dụng các bản vá này mà không có quyền truy cập SSH vào bản cài đặt Magento của họ?

Ngoài ra, là những bản vá tích lũy? IE: Chúng sẽ được đưa vào phiên bản tương lai của Magento hay chúng cần được áp dụng lại?

Tôi đang hỏi câu hỏi này vì tôi đã đăng nhập vào bảng quản trị của mình và nhận được cảnh báo bảo mật quan trọng:

Tải xuống và triển khai 2 bản vá bảo mật quan trọng ( SUPEE-5344SUPEE-1533 ) từ trang tải xuống Magento Community Edition ( https: //www.magentoc Commerce.com/products/doads/magento/ ).

Nếu bạn chưa làm như vậy, hãy tải xuống và cài đặt 2 bản vá được phát hành trước đó để ngăn kẻ tấn công thực thi mã từ xa trên phần mềm Magento. Những vấn đề này ảnh hưởng đến tất cả các phiên bản của Magento Community Edition.

Một thông cáo báo chí từ Công nghệ phần mềm Check Point trong những ngày tới sẽ khiến một trong những vấn đề này được biết đến rộng rãi, có thể cảnh báo các tin tặc có thể cố gắng khai thác nó. Đảm bảo các bản vá được đưa ra như một biện pháp phòng ngừa trước khi vấn đề được công khai.

và điều này vào ngày 14 tháng 5 năm 2015 :

Điều quan trọng là bạn phải tải xuống và cài đặt một bản vá bảo mật mới ( SUPEE-5994 ) từ trang tải xuống Magento Community Edition ( https : //www.magentoc Commerce.com/products/doads/magento/ ). Vui lòng áp dụng bản cập nhật quan trọng này ngay lập tức để giúp bảo vệ trang web của bạn khỏi tiếp xúc với nhiều lỗ hổng bảo mật ảnh hưởng đến tất cả các phiên bản của phần mềm Magento Community Edition. Xin lưu ý rằng bản vá này phải được cài đặt cùng với bản vá Shoplift gần đây (SUPEE-5344).

Tôi cũng nhận được email sau:

Kính gửi thương gia Magento,

Để tiếp tục bảo mật nền tảng Magento khỏi các cuộc tấn công tiềm năng, chúng tôi sẽ phát hành một bản vá mới (SUPEE-5994) với nhiều bản sửa lỗi bảo mật quan trọng hiện nay. Bản vá giải quyết một loạt các vấn đề, bao gồm các tình huống mà kẻ tấn công có thể truy cập vào thông tin của khách hàng. Những lỗ hổng này được thu thập thông qua chương trình bảo mật đa điểm của chúng tôi và chúng tôi không nhận được báo cáo nào về thương nhân hoặc khách hàng của họ bị ảnh hưởng bởi những vấn đề này.

Tất cả các phiên bản phần mềm Magento Community Edition đều bị ảnh hưởng và chúng tôi thực sự khuyên bạn nên làm việc với Đối tác giải pháp hoặc nhà phát triển để triển khai ngay bản vá quan trọng này. Xin lưu ý rằng bản vá này phải được cài đặt cùng với bản vá Shoplift gần đây (SUPEE-5344). Thông tin thêm về các vấn đề bảo mật có sẵn trong Phụ lục của hướng dẫn sử dụng Magento Community Edition.

Bạn có thể tải xuống các bản vá từ trang tải xuống Community Edition. Hãy tìm bản vá SUPEE-5994. Bản vá có sẵn cho Community Edition 1.4.1. 1.9.1.1.

Trước tiên hãy chắc chắn thực hiện và kiểm tra bản vá trong môi trường phát triển để xác nhận rằng nó hoạt động như mong đợi trước khi triển khai nó đến một trang web sản xuất. Thông tin về cài đặt các bản vá trên Magento Community Edition có sẵn trực tuyến.

Cảm ơn bạn đã quan tâm đến vấn đề này.

CẬP NHẬT NGÀY 7 THÁNG 7 NĂM 2015

Ngày 7 tháng 7 năm 2015: Bản vá bảo mật Magento mới ( SUPEE-6285 ) - Cài đặt ngay lập tức
Hôm nay chúng tôi sẽ cung cấp một bản vá bảo mật mới ( SUPEE-6285 ) nhằm giải quyết các lỗ hổng bảo mật quan trọng. Bản vá có sẵn cho Community Edition 1.4.1 đến 1.9.1.1 và là một phần của mã cốt lõi của phiên bản mới nhất của chúng tôi, Community Edition 1.9.2, có sẵn để tải xuống ngày hôm nay. XIN LƯU Ý: Trước tiên, bạn phải triển khai SUPEE-5994 để đảm bảo SUPEE-6285 hoạt động đúng. Tải xuống Phiên bản cộng đồng 1.9.2 hoặc bản vá từ trang tải xuống Phiên bản cộng đồng: https : //www.magentoc Commerce.com/products/doads/magento/

CẬP NHẬT NGÀY 4 THÁNG 4 NĂM 2015

Ngày 4 tháng 8 năm 2015: Bản vá bảo mật Magento mới ( SUPEE-6482 ) - Cài đặt ngay lập tức
Hôm nay chúng tôi sẽ cung cấp một bản vá bảo mật mới ( SUPEE-6482 ) giải quyết 4 vấn đề bảo mật; hai vấn đề liên quan đến API và hai rủi ro kịch bản chéo trang. Bản vá có sẵn cho Community Edition 1.4 và các phiên bản mới hơn và là một phần của mã cốt lõi của Community Edition 1.9.2.1, có sẵn để tải xuống ngày hôm nay. Trước khi thực hiện bản vá bảo mật mới này, trước tiên bạn phải thực hiện tất cả các bản vá bảo mật trước đó. Tải xuống Phiên bản cộng đồng 1.9.2.1 hoặc bản vá từ trang tải xuống Phiên bản cộng đồng tại https: //www.magentoc Commerce.com/products/doads/magento/

CẬP NHẬT 27 tháng 10 năm 2015

Ngày 27 tháng 10 năm 2015: Bản vá bảo mật Magento mới ( SUPEE-6788 ) - Cài đặt ngay lập tức
Hôm nay, chúng tôi sẽ phát hành một bản vá mới ( SUPEE-6788 ) và Phiên bản cộng đồng 1.9.2.2/ Nhập phiên bản 1.14.2.2 để giải quyết hơn 10 vấn đề bảo mật, bao gồm thực thi mã từ xa và lỗ hổng thông tin rò rỉ. Bản vá này không liên quan đến vấn đề phần mềm độc hại của Gurincsite . Trước tiên hãy chắc chắn kiểm tra bản vá trong môi trường phát triển, vì nó có thể ảnh hưởng đến các tiện ích mở rộng và tùy chỉnh. Tải xuống bản vá từ trang Tải xuống Phiên bản Cộng đồng / Cổng thông tin Hỗ trợ Phiên bản Doanh nghiệp và tìm hiểu thêm tại http://magento.com/security/patches/supee-6788 .

CẬP NHẬT NGÀY 20 THÁNG 6 NĂM 2016

Quan trọng: Bản vá bảo mật mới ( SUPEE-7405 ) và Bản phát hành - 1/20/2016
Hôm nay, chúng tôi sẽ phát hành bản vá mới ( SUPEE-7405 ) và Phiên bản cộng đồng 1.9.2.3 / Phiên bản doanh nghiệp 1.14.2.3 để cải thiện bảo mật của các trang web Magento . Không có cuộc tấn công nào được xác nhận liên quan đến các vấn đề bảo mật, nhưng một số lỗ hổng nhất định có thể có khả năng bị khai thác để truy cập thông tin của khách hàng hoặc tiếp quản các phiên quản trị viên. Bạn có thể tải xuống bản vá và phát hành từ trang Tải xuống Phiên bản Cộng đồng / MyAccount và tìm hiểu thêm tại https://magento.com/security/patches/supee-7405 .

CẬP NHẬT NGÀY 23 - 2016

Phiên bản cập nhật của bản vá SUPEE7405 hiện có sẵn. Các bản cập nhật thêm hỗ trợ cho PHP 5.3 và giải quyết các vấn đề với quyền tải lên tệp, hợp nhất giỏ hàng và API SOAP có kinh nghiệm với bản phát hành gốc. Họ KHÔNG giải quyết bất kỳ vấn đề bảo mật mới. Bạn có thể tải xuống bản vá và phát hành từ trang Tải xuống Phiên bản Cộng đồng / MyAccount và tìm hiểu thêm tại https://magento.com/security/patches/supee-7405 .


4
Điều thú vị nữa là họ sử dụng tập lệnh shell để áp dụng bản vá, nhưng không cung cấp URL để sử dụng cho curlhoặc wget- Loại ngớ ngẩn mà bạn phải đăng nhập trên trang tải xuống, tải xuống tệp, FTP tệp vào trang web, sau đó áp dụng nó.
pspahn

5
Đồng thời xem: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 và kiểm tra xem mọi thứ đã được sửa ở đây chưa: shoplift.byte.nl
Jeroen

6
Đáng lưu ý rằng tất cả các bản vá chỉ chứa một bản vá git tiêu chuẩn bên dưới dòng __PATCHFILE_FOLLOWS__. Điều này có nghĩa là bạn có thể sao chép nội dung này ra khỏi tệp và thêm nó vào một tệp mới có .patchphần mở rộng. Sau đó, chỉ cần sử dụng git applyđể áp dụng nó.
Jonathan Hussey

Xin chào, Có thể nhiều tệp vá sẽ được cài đặt trong Magento ..?
VijayS91

Câu trả lời:


35

Áp dụng các bản vá thủ công không có quyền truy cập SSH

Bạn có một điểm tốt ở đây. Các bản vá được cung cấp dưới dạng .shtệp và không có giải pháp nào được Magento cung cấp cho các trang web chỉ dành cho FTP.

Tôi đề nghị một người sẽ sao chép mã trang web của anh ta sang môi trường cục bộ thông qua FTP (có lẽ bạn đã có mã đó rồi). Sau đó áp dụng các bản vá bằng cách chạy các .shtập tin.

Bây giờ bạn cần tìm ra những tập tin bạn cần tải lên lại. Nếu bạn sẽ mở .shtệp vá, thì bạn sẽ thấy nó bao gồm hai phần:

  1. Mã shell Bash để áp dụng các bản vá. Mã này là chung cho mọi bản vá.
  2. Các bản vá thực tế ở dạng một định dạng vá thống nhất . Điều này chỉ cho biết các dòng trong các tệp đã được thay đổi (bao gồm một số dòng ngữ cảnh). Điều này bắt đầu dưới dòng__PATCHFILE_FOLLOWS__

Từ phần thứ hai, bạn có thể đọc những tập tin nào bị / bị ảnh hưởng bởi bản vá. Bạn cần tải lại các tệp này lên FTP của mình hoặc ... bạn chỉ có thể tải lên mọi thứ.

Áp dụng thủ công mà không cần bash / shell

  1. Nếu bạn không thể chạy .shcác tệp (trong Windows), thì bạn có thể trích xuất phần thứ hai của bản vá ( bản vá hợp nhất ) và áp dụng thủ công với công cụ vá (hoặc ví dụ thông qua PHPStorm ).
  2. Trang web Magentary.com cung cấp các tệp ZIP cho mỗi phiên bản Magento chỉ chứa các tệp được vá.

Các bản vá trong bản phát hành hiện tại và tương lai?

Các bản vá được phát hành ngay bây giờ áp dụng cho tất cả các phiên bản đã được phát hành. Tất nhiên, Magento có thể phát hành một phiên bản mới (chính hoặc phụ). Sau đó, chúng sẽ chứa tất cả các bản vá bảo mật vì Magento cũng sẽ áp dụng các bản vá cho cơ sở mã phát triển của chúng một cách tự nhiên (các bản vá này thậm chí có nguồn gốc từ cơ sở mã đó;)).

CẬP NHẬT :
Mỗi bản vá cuối cùng Magento cũng đã phát hành các phiên bản mới của Magento CE và EE đã có bản vá mới nhất cụ thể. Xem tab Lưu trữ phát hành trên trang tải xuống Magento .

Kiểm tra trang tính này, được duy trì bởi JH, để cài đặt bản vá nào cho phiên bản Magento CE và EE: https://docs.google.com/s Lansheet / d / 1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M


Xin chào, Có thể nhiều tệp vá sẽ được cài đặt trong Magento ..?
VijayS91

cảm ơn @ 7ochem, nó hoạt động cho tôi +1 từ phía tôi ......
Em bé ở Magento

2
hoặc sử dụng cập nhật tự động với gói soạn thảo github.com/firegento/magento
Aleksey Razbakov

6
nhà soạn nhạc không bao giờ nên trên máy chủ sản xuất. Đầu tiên bạn chạy trình soạn thảo, nhận các tệp cập nhật, sau đó tải lên các tệp đã thay đổi. cấp 2 là để làm điều đó với jenkins.
Aleksey Razbakov

2
Đúng ... Xây dựng & triển khai ... Nhưng vẫn vậy, khi bạn đang sử dụng FTP, có lẽ bạn không thích điều đó. Sẽ là rộng để giải thích điều đó đầy đủ trong câu trả lời này quá. Cách thiết lập tính năng này và cách chỉ tải lên các tệp đã thay đổi / thêm / xóa (các phiên bản và nội dung khác nhau).
7ochem

24

Thật không may, không có cách nào "dễ dàng" để cài đặt các bản vá này mà không cần truy cập shell, nhưng có hai cách để làm điều đó.

Cài đặt bản vá thông qua PHP

  1. Sử dụng máy khách FTP để tải lên bản vá cụ thể vào thư mục gốc của thư mục Magento của bạn.
  2. Tạo một tệp PHP có tên là applicationpatch.php sẽ chạy bản vá cho bạn và tải nó lên thư mục gốc của thư mục Magento của bạn. Đảm bảo sử dụng đúng tên bản vá ở đây, nếu bạn không sử dụng bản vá cho phiên bản 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Truy cập tệp tại http://your.domain.com/applypatch.php và kiểm tra xem đầu ra có như mong đợi không.

Cài đặt bản vá thủ công

Tệp .sh chứa bản vá 'DIFF'. Chúng hiển thị những dòng đã được gỡ bỏ và thêm vào. Mặc dù tôi không khuyên bạn nhưng bạn có thể tải xuống các tệp qua FTP theo cách thủ công và chỉnh sửa các tệp này trong trình chỉnh sửa mà bạn chọn, sau đó tải lại chúng qua FTP. Định dạng không quá khó để giải thích , vì vậy bạn có thể làm điều này cho tất cả các tệp và không nên mất nhiều hơn sau vài phút.


3
Nếu một bản vá được "áp dụng" bằng cách chỉnh sửa các tệp cần thiết thành các phiên bản mới, liệu các nỗ lực trong tương lai có thể vá thông báo chính xác cho người dùng rằng nó đã được vá không?
pspahn

4
Dường như ít nhất là đối với SUPEE-5344 và SUPEE-1533, có một loại nhật ký được ghi vào app / etc / application.patches.list. Cung cấp thông tin chung về những gì các bản vá thực sự đã làm. Tôi đã thực hiện một grep để tham chiếu đến tệp này trong cơ sở mã của Magento nhưng nó không trả về bất cứ điều gì có nghĩa là có thể không có logic để theo dõi các bản vá được áp dụng. GHI CHÚ: Các bản vá dường như không thể phân biệt được với các bản hack cốt lõi: magento.stackexchange.com/questions/26335/patch-or-core-hack
sparecycl

4
Phương pháp này yêu cầu máy chủ web phải có quyền ghi vào các tệp. Nếu bạn sử dụng phương pháp này, hãy chắc chắn rằng bạn thay đổi perms trở lại như cũ để máy chủ web không thể ghi vào các tệp bên cạnh / media và / var
Kevin Schroeder

Nó nói "ERROR:" / app / etc / "phải tồn tại cho công cụ thích hợp." , xin vui lòng giúp đỡ
Tahir Yasin

3

Trong trường hợp của tôi, tôi sử dụng bitbucket cho Bảo trì phiên bản và chỉ thực hiện các thay đổi của mình thông qua bitBucket.

Vì vậy, những gì tôi làm Khi tôi áp dụng các bản vá là, áp dụng bản vá đó Trong hệ thống địa phương của tôi và kiểm tra tất cả mọi thứ. rằng trang web của tôi đang làm việc.

và đẩy tất cả các chnages lên bitbucket và tại trang web trực tiếp kéo tất cả các thay đổi và bản vá của tôi được áp dụng.

Trong trường hợp bạn làm gì nếu bạn không có quyền truy cập ssh là

1) Áp dụng bản vá trong cục bộ và thay đổi đẩy cho bitbucket. Bitbucket cho bạn biết tập tin nào đã được thay đổi từ lần xác nhận cuối cùng.

2) tải lên các tệp đó theo cách thủ công qua FTP và bản vá của bạn được áp dụng.


2

Áp dụng các bản vá Magento thông qua FTP / sFTP hoặc FileManager / Tải lên tệp.

Cách 1: -

Để áp dụng các bản vá theo cách này, chúng tôi chỉ cần thay thế các tập tin thay đổi. Cách này không thể được sử dụng một cách mù quáng nếu bạn hoặc nhà phát triển của bạn đã thay đổi bất kỳ tệp Magento cốt lõi nào (đây là một điều không nên lớn). Những thay đổi như vậy nên được áp dụng lại cho các tệp đã vá hoặc bạn mất các thay đổi này.

vui lòng truy cập URL bên dưới để tải xuống các bản vá sau: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Cách 2: -

Tải xuống tệp vá để https://magento.com/tech-resource/doad#doad1972 Tải lên các tệp vá trong thư mục gốc của magento.

Tạo một tệp có tên patch.php, viết mã sau vào đó,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Bạn chạy patch.php từ trình duyệt.

Nếu bạn đang gặp lỗi như thế này,

"Lỗi! Một số công cụ hệ thống bắt buộc, được sử dụng trong tập lệnh sh này, chưa được cài đặt; Công cụ" bản vá "bị (bị) bỏ lỡ, vui lòng cài đặt nó (chúng).

Điều đó có nghĩa là các công cụ hệ thống không được cài đặt trong máy chủ của bạn để chạy tập lệnh sh.


-2

Tôi không nghĩ có thể làm điều đó mà không cần truy cập SSH nhưng bạn luôn có thể tạo tài khoản SSH trên cpanel hoặc bất kỳ bảng điều khiển nào khác mà bạn có và có nhiều khả năng bạn có thể tìm thấy các hướng dẫn để tạo tài khoản SSH bằng Hosting của mình Công ty chỉ cần google "tên công ty lưu trữ của bạn + ssh tạo".


-3

Tải xuống các bản vá (Trên thực tế chỉ có 1, vì 1 là dành cho EE và phiên bản khác cho CE) Đề nghị bạn chạy nhanh trở lại trước ....

sao lưu cp -r public_html (thay thế public_html bằng cài đặt magento đầy đủ)

FTP bản vá vào thư mục sao lưu trước và kiểm tra tất cả ok bằng cách chạy nó trên bản sao lưu .. sh patchname.sh

Tất cả ok? FTP bản vá để cài đặt và chạy thực tế của bạn

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

hướng dẫn cũng khuyên "Để áp dụng lại quyền sở hữu đối với các tệp được thay đổi bởi bản vá: Tìm người dùng máy chủ web: ps -o" lệnh nhóm người dùng "-C httpd, apache2 Giá trị trong cột USER là tên người dùng máy chủ web. Thông thường, Người dùng máy chủ web Apache trên CentOS là apache và người dùng máy chủ web Apache trên Ubuntu là dữ liệu www. Là người dùng có quyền root, hãy nhập lệnh sau từ thư mục cài đặt Magento: chown -R web-server-user-name. Ví dụ: trên Ubuntu nơi Apache thường chạy dưới dạng dữ liệu www, hãy nhập chown -R www-data "

chạy lệnh ps với quyền root, tôi chỉ có root với tư cách là người dùng và chạy chown -R root và sửa lỗi cài đặt của tôi, tôi chạy lại nó với tên người dùng của tài khoản người dùng được cài đặt và tất cả đều tốt


tôi cũng đã sử dụng tập lệnh php này để dọn dẹp các quyền của tập tin thay vào đó .. magenmarket.com/news-and-blog/ mẹo
Cosy

3
Bạn đang đề nghị chạy một loạt các lệnh, tôi cho rằng qua SSH. Câu hỏi của OP là "làm thế nào để làm điều này mà không cần SSH?" ...
7ochem

Ôi! Tôi xin lỗi! Lỗi của tôi
Cosy
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.