Các bản vá bảo mật Magento trông giống như chúng là .sh
các tệp, làm thế nào một người nào đó sẽ áp dụng các bản vá này mà không có quyền truy cập SSH vào bản cài đặt Magento của họ?
Ngoài ra, là những bản vá tích lũy? IE: Chúng sẽ được đưa vào phiên bản tương lai của Magento hay chúng cần được áp dụng lại?
Tôi đang hỏi câu hỏi này vì tôi đã đăng nhập vào bảng quản trị của mình và nhận được cảnh báo bảo mật quan trọng:
Tải xuống và triển khai 2 bản vá bảo mật quan trọng ( SUPEE-5344 và SUPEE-1533 ) từ trang tải xuống Magento Community Edition ( https: //www.magentoc Commerce.com/products/doads/magento/ ).
Nếu bạn chưa làm như vậy, hãy tải xuống và cài đặt 2 bản vá được phát hành trước đó để ngăn kẻ tấn công thực thi mã từ xa trên phần mềm Magento. Những vấn đề này ảnh hưởng đến tất cả các phiên bản của Magento Community Edition.
Một thông cáo báo chí từ Công nghệ phần mềm Check Point trong những ngày tới sẽ khiến một trong những vấn đề này được biết đến rộng rãi, có thể cảnh báo các tin tặc có thể cố gắng khai thác nó. Đảm bảo các bản vá được đưa ra như một biện pháp phòng ngừa trước khi vấn đề được công khai.
và điều này vào ngày 14 tháng 5 năm 2015 :
Điều quan trọng là bạn phải tải xuống và cài đặt một bản vá bảo mật mới ( SUPEE-5994 ) từ trang tải xuống Magento Community Edition ( https : //www.magentoc Commerce.com/products/doads/magento/ ). Vui lòng áp dụng bản cập nhật quan trọng này ngay lập tức để giúp bảo vệ trang web của bạn khỏi tiếp xúc với nhiều lỗ hổng bảo mật ảnh hưởng đến tất cả các phiên bản của phần mềm Magento Community Edition. Xin lưu ý rằng bản vá này phải được cài đặt cùng với bản vá Shoplift gần đây (SUPEE-5344).
Tôi cũng nhận được email sau:
Kính gửi thương gia Magento,
Để tiếp tục bảo mật nền tảng Magento khỏi các cuộc tấn công tiềm năng, chúng tôi sẽ phát hành một bản vá mới (SUPEE-5994) với nhiều bản sửa lỗi bảo mật quan trọng hiện nay. Bản vá giải quyết một loạt các vấn đề, bao gồm các tình huống mà kẻ tấn công có thể truy cập vào thông tin của khách hàng. Những lỗ hổng này được thu thập thông qua chương trình bảo mật đa điểm của chúng tôi và chúng tôi không nhận được báo cáo nào về thương nhân hoặc khách hàng của họ bị ảnh hưởng bởi những vấn đề này.
Tất cả các phiên bản phần mềm Magento Community Edition đều bị ảnh hưởng và chúng tôi thực sự khuyên bạn nên làm việc với Đối tác giải pháp hoặc nhà phát triển để triển khai ngay bản vá quan trọng này. Xin lưu ý rằng bản vá này phải được cài đặt cùng với bản vá Shoplift gần đây (SUPEE-5344). Thông tin thêm về các vấn đề bảo mật có sẵn trong Phụ lục của hướng dẫn sử dụng Magento Community Edition.
Bạn có thể tải xuống các bản vá từ trang tải xuống Community Edition. Hãy tìm bản vá SUPEE-5994. Bản vá có sẵn cho Community Edition 1.4.1. 1.9.1.1.
Trước tiên hãy chắc chắn thực hiện và kiểm tra bản vá trong môi trường phát triển để xác nhận rằng nó hoạt động như mong đợi trước khi triển khai nó đến một trang web sản xuất. Thông tin về cài đặt các bản vá trên Magento Community Edition có sẵn trực tuyến.
Cảm ơn bạn đã quan tâm đến vấn đề này.
CẬP NHẬT NGÀY 7 THÁNG 7 NĂM 2015
Ngày 7 tháng 7 năm 2015: Bản vá bảo mật Magento mới ( SUPEE-6285 ) - Cài đặt ngay lập tức
Hôm nay chúng tôi sẽ cung cấp một bản vá bảo mật mới ( SUPEE-6285 ) nhằm giải quyết các lỗ hổng bảo mật quan trọng. Bản vá có sẵn cho Community Edition 1.4.1 đến 1.9.1.1 và là một phần của mã cốt lõi của phiên bản mới nhất của chúng tôi, Community Edition 1.9.2, có sẵn để tải xuống ngày hôm nay. XIN LƯU Ý: Trước tiên, bạn phải triển khai SUPEE-5994 để đảm bảo SUPEE-6285 hoạt động đúng. Tải xuống Phiên bản cộng đồng 1.9.2 hoặc bản vá từ trang tải xuống Phiên bản cộng đồng: https : //www.magentoc Commerce.com/products/doads/magento/
CẬP NHẬT NGÀY 4 THÁNG 4 NĂM 2015
Ngày 4 tháng 8 năm 2015: Bản vá bảo mật Magento mới ( SUPEE-6482 ) - Cài đặt ngay lập tức
Hôm nay chúng tôi sẽ cung cấp một bản vá bảo mật mới ( SUPEE-6482 ) giải quyết 4 vấn đề bảo mật; hai vấn đề liên quan đến API và hai rủi ro kịch bản chéo trang. Bản vá có sẵn cho Community Edition 1.4 và các phiên bản mới hơn và là một phần của mã cốt lõi của Community Edition 1.9.2.1, có sẵn để tải xuống ngày hôm nay. Trước khi thực hiện bản vá bảo mật mới này, trước tiên bạn phải thực hiện tất cả các bản vá bảo mật trước đó. Tải xuống Phiên bản cộng đồng 1.9.2.1 hoặc bản vá từ trang tải xuống Phiên bản cộng đồng tại https: //www.magentoc Commerce.com/products/doads/magento/
CẬP NHẬT 27 tháng 10 năm 2015
Ngày 27 tháng 10 năm 2015: Bản vá bảo mật Magento mới ( SUPEE-6788 ) - Cài đặt ngay lập tức
Hôm nay, chúng tôi sẽ phát hành một bản vá mới ( SUPEE-6788 ) và Phiên bản cộng đồng 1.9.2.2/ Nhập phiên bản 1.14.2.2 để giải quyết hơn 10 vấn đề bảo mật, bao gồm thực thi mã từ xa và lỗ hổng thông tin rò rỉ. Bản vá này không liên quan đến vấn đề phần mềm độc hại của Gurincsite . Trước tiên hãy chắc chắn kiểm tra bản vá trong môi trường phát triển, vì nó có thể ảnh hưởng đến các tiện ích mở rộng và tùy chỉnh. Tải xuống bản vá từ trang Tải xuống Phiên bản Cộng đồng / Cổng thông tin Hỗ trợ Phiên bản Doanh nghiệp và tìm hiểu thêm tại http://magento.com/security/patches/supee-6788 .
CẬP NHẬT NGÀY 20 THÁNG 6 NĂM 2016
Quan trọng: Bản vá bảo mật mới ( SUPEE-7405 ) và Bản phát hành - 1/20/2016
Hôm nay, chúng tôi sẽ phát hành bản vá mới ( SUPEE-7405 ) và Phiên bản cộng đồng 1.9.2.3 / Phiên bản doanh nghiệp 1.14.2.3 để cải thiện bảo mật của các trang web Magento . Không có cuộc tấn công nào được xác nhận liên quan đến các vấn đề bảo mật, nhưng một số lỗ hổng nhất định có thể có khả năng bị khai thác để truy cập thông tin của khách hàng hoặc tiếp quản các phiên quản trị viên. Bạn có thể tải xuống bản vá và phát hành từ trang Tải xuống Phiên bản Cộng đồng / MyAccount và tìm hiểu thêm tại https://magento.com/security/patches/supee-7405 .
CẬP NHẬT NGÀY 23 - 2016
Phiên bản cập nhật của bản vá SUPEE7405 hiện có sẵn. Các bản cập nhật thêm hỗ trợ cho PHP 5.3 và giải quyết các vấn đề với quyền tải lên tệp, hợp nhất giỏ hàng và API SOAP có kinh nghiệm với bản phát hành gốc. Họ KHÔNG giải quyết bất kỳ vấn đề bảo mật mới. Bạn có thể tải xuống bản vá và phát hành từ trang Tải xuống Phiên bản Cộng đồng / MyAccount và tìm hiểu thêm tại https://magento.com/security/patches/supee-7405 .
__PATCHFILE_FOLLOWS__
. Điều này có nghĩa là bạn có thể sao chép nội dung này ra khỏi tệp và thêm nó vào một tệp mới có .patch
phần mở rộng. Sau đó, chỉ cần sử dụng git apply
để áp dụng nó.
curl
hoặcwget
- Loại ngớ ngẩn mà bạn phải đăng nhập trên trang tải xuống, tải xuống tệp, FTP tệp vào trang web, sau đó áp dụng nó.