Lembrete crítico: Faça o download e instale os patches de segurança Magento. (FTP sem acesso SSH)

50

Os patches de segurança do Magento parecem .sharquivos, como alguém os aplicaria sem acesso SSH às instalações do Magento?

Além disso, esses patches são cumulativos? IE: Eles serão incluídos na versão futura do Magento ou precisam ser reaplicados?

Estou fazendo esta pergunta porque entrei no meu painel de administração e recebi um aviso crítico de segurança:

Faça o download e implemente 2 patches de segurança importantes ( SUPEE-5344 e SUPEE-1533 ) na página de download do Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).

Se você ainda não o fez, baixe e instale 2 patches lançados anteriormente que impedem que um invasor execute remotamente o código no software Magento. Esses problemas afetam todas as versões do Magento Community Edition.

Um comunicado de imprensa da Check Point Software Technologies nos próximos dias tornará amplamente conhecido um desses problemas, possivelmente alertando hackers que podem tentar explorá-lo. Verifique se os patches estão no local como uma medida preventiva antes que o problema seja publicado.

e isso em 14 de maio de 2015 :

É importante que você baixe e instale um novo patch de segurança ( SUPEE-5994 ) na página de download do Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Aplique esta atualização crítica imediatamente para ajudar a proteger seu site da exposição a várias vulnerabilidades de segurança que afetam todas as versões do software Magento Community Edition. Observe que esse patch deve ser instalado além do patch Shoplift recente (SUPEE-5344).

Também recebi o seguinte email:

Caro comerciante Magento,

Para proteger ainda mais a plataforma Magento contra possíveis ataques, estamos lançando um novo patch (SUPEE-5994) com várias correções críticas de segurança hoje. O patch soluciona uma série de problemas, incluindo cenários em que os invasores podem obter acesso às informações do cliente. Essas vulnerabilidades foram coletadas por meio de nosso programa de segurança multiponto e não recebemos relatos de comerciantes ou clientes sendo afetados por esses problemas.

Todas as versões do software Magento Community Edition são impactadas e é altamente recomendável que você trabalhe com seu Parceiro de solução ou desenvolvedor para implantar imediatamente esse patch crítico. Observe que esse patch deve ser instalado além do patch Shoplift recente (SUPEE-5344). Mais informações sobre os problemas de segurança estão disponíveis no Apêndice do guia do usuário do Magento Community Edition.

Você pode baixar o patch na página de download do Community Edition. Procure o patch SUPEE-5994. O patch está disponível para o Community Edition 1.4.1 a 1.9.1.1.

Certifique-se de implementar e testar o patch em um ambiente de desenvolvimento primeiro para confirmar se ele funciona conforme o esperado antes de implantá-lo em um site de produção. Informações sobre a instalação de patches no Magento Community Edition estão disponíveis online.

Agradecemos sua atenção a este problema.

ATUALIZAÇÃO 7 DE JULHO DE 2015

7 de julho de 2015: Novo patch de segurança Magento ( SUPEE-6285 ) - Instale imediatamente
Hoje estamos fornecendo um novo patch de segurança ( SUPEE-6285 ) que aborda vulnerabilidades críticas de segurança. O patch está disponível para o Community Edition 1.4.1 a 1.9.1.1 e faz parte do código principal de nossa versão mais recente, o Community Edition 1.9.2, disponível para download hoje. ATENÇÃO: você deve primeiro implementar o SUPEE-5994 para garantir que o SUPEE-6285 funcione corretamente. Faça o download do Community Edition 1.9.2 ou do patch na página de download do Community Edition: https://www.magentocommerce.com/products/downloads/magento/

ATUALIZAÇÃO 4 DE AGOSTO DE 2015

4 de agosto de 2015: Novo patch de segurança Magento ( SUPEE-6482 ) - Instale imediatamente
Hoje estamos fornecendo um novo patch de segurança ( SUPEE-6482 ) que aborda quatro questões de segurança; dois problemas relacionados às APIs e dois riscos de script entre sites. O patch está disponível para o Community Edition 1.4 e versões posteriores e faz parte do código principal do Community Edition 1.9.2.1, que está disponível para download hoje. Antes de implementar esse novo patch de segurança, você deve primeiro implementar todos os patches de segurança anteriores. Faça o download do Community Edition 1.9.2.1 ou do patch na página de download do Community Edition em https://www.magentocommerce.com/products/downloads/magento/

ATUALIZAÇÃO 27 DE OUTUBRO DE 2015

27 de outubro de 2015: Novo patch de segurança Magento ( SUPEE-6788 ) - Instalação imediata
Hoje, estamos lançando um novo patch ( SUPEE-6788 ) e o Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 para solucionar mais de 10 problemas de segurança, incluindo execução remota de código e vulnerabilidades de vazamento de informações. Este patch não está relacionado ao problema de malware do Guruincsite . Teste o patch em um ambiente de desenvolvimento primeiro, pois ele pode afetar extensões e personalizações. Faça o download do patch na página de download do Community Edition / no Portal de suporte do Enterprise Edition e saiba mais em http://magento.com/security/patches/supee-6788 .

ATUALIZAÇÃO 20 DE JANEIRO DE 2016

Importante: Novo patch de segurança ( SUPEE-7405 ) e versão - 20/01/2016
Hoje, estamos lançando um novo patch ( SUPEE-7405 ) e o Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 para melhorar a segurança dos sites Magento . Não há ataques confirmados relacionados aos problemas de segurança, mas certas vulnerabilidades podem ser potencialmente exploradas para acessar informações do cliente ou assumir sessões de administrador. Você pode baixar o patch e liberar-se da página de download do Community Edition / MyAccount e saber mais em https://magento.com/security/patches/supee-7405 .

ATUALIZAÇÃO 23 DE FEVEREIRO DE 2016

Versões atualizadas do patch SUPEE7405 já estão disponíveis. As atualizações adicionam suporte ao PHP 5.3 e resolvem problemas com permissões de upload de arquivos, carrinhos de mesclagem e APIs SOAP com a versão original. Eles NÃO tratam de novos problemas de segurança. Você pode baixar o patch e liberar-se da página de download do Community Edition / MyAccount e saber mais em https://magento.com/security/patches/supee-7405 .

SR_Magento
fonte
4
Também é interessante que eles usem um script de shell para aplicar o patch, mas não ofereçam URL para usar curlou wget- É meio bobo que você precise fazer login na página de download, baixar o arquivo, enviar o arquivo FTP para o site e aplicá-lo.
pspahn
5
Veja também: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 e verificar se tudo está fixado aqui: shoplift.byte.nl
Jeroen
6
Vale ressaltar que todos os patches contêm apenas um patch git padrão abaixo da linha __PATCHFILE_FOLLOWS__. Isso significa que você pode copiar esse conteúdo do arquivo e adicioná-lo em um novo arquivo com .patchextensão. Em seguida, basta usar git applypara aplicá-lo.
23615 Jonathan Stonews
Oi, É possível que mais de um arquivo de patch seja instalado no Magento ..?
precisa saber é o seguinte

Respostas:

35

Aplicando correções manualmente sem acesso SSH

Você tem um bom argumento aqui. Os patches são fornecidos como .sharquivos e não há solução oferecida pelo Magento para sites apenas de FTP.

Eu sugiro que alguém copie o código do site dele em um ambiente local por FTP (você provavelmente já o teria). Em seguida, aplique o patch executando o .sharquivo.

Agora você precisa descobrir quais arquivos você precisa enviar novamente. Se você abrir o .sharquivo de correção, verá que ele consiste em duas seções:

  1. Código do shell Bash para aplicar o patch. Este código é geral para cada patch.
  2. O patch real na forma de um formato de patch unificado . Isso indica apenas as linhas nos arquivos que foram alteradas (incluindo algumas linhas de contexto). Isso começa abaixo da linha__PATCHFILE_FOLLOWS__

Na segunda seção, você pode ler quais arquivos foram / são afetados pelo patch. Você precisa fazer o upload desses arquivos novamente para o seu FTP ou ... você pode simplesmente fazer o upload de tudo.

Aplicando manualmente sem bash / shell

  1. Se você não conseguir executar .sharquivos (no Windows), poderá extrair a segunda seção do patch (o patch unificado ) e aplicá-lo manualmente com uma ferramenta de patch (ou, por exemplo, através do PHPStorm ).
  2. O site Magentary.com fornece arquivos ZIP para cada versão do Magento que contém apenas os arquivos corrigidos.

Patches em versões atuais e futuras?

Os patches lançados agora se aplicam a todas as versões que já foram lançadas. Obviamente, o Magento pode lançar uma nova versão (maior ou menor). Eles conterão todos os patches de segurança, pois o Magento também aplicará os patches à sua base de código de desenvolvimento naturalmente (esses patches até se originam dessa base de código;)).

ATUALIZAÇÃO :
Todo último patch Magento também lançou novas versões do Magento CE e EE já contendo o último patch específico. Veja a guia Release Archive na página de download do Magento .

Verifique esta planilha, mantida pela JH, para quais patches instalar para as versões Magento CE e EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

7ochem
fonte
Oi, É possível que mais de um arquivo de patch seja instalado no Magento ..?
precisa saber é o seguinte
obrigado @ 7ochem, funcionou para mim +1 do meu lado ......
Baby in Magento
2
ou usar atualizações automáticas com o pacote compositor github.com/firegento/magento
Aleksey Razbakov
6
O compositor nunca deve estar no servidor de produção. primeiro, você executa o compositor, obtém arquivos atualizados e depois carrega os arquivos alterados. o nível 2 é fazer isso com jenkins.
Aleksey Razbakov
2
Verdadeiro ... Construa e implante ... Mas, ainda assim, quando você estiver usando FTP, provavelmente não gostará disso. Seria muito amplo explicar isso totalmente nesta resposta. Como configurar isso e como fazer upload apenas dos arquivos alterados / adicionados / excluídos (diferentes versões e outros itens).
7ochem 02/02
24

Infelizmente, não há uma maneira 'fácil' de instalar esses patches sem acesso ao shell, mas há duas maneiras de fazê-lo.

Instale o patch através do PHP

  1. Use um cliente FTP para carregar o patch específico na raiz da sua pasta Magento.
  2. Crie um arquivo PHP chamado applypatch.php que executará o patch para você e faça o upload para a raiz da sua pasta Magento. Certifique-se de usar o nome correto do patch aqui, se você não usar o patch para a versão 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Visite o arquivo em http : //seu.domínio.com/applypatch.php e verifique se a saída está como o esperado.

Instale o patch manualmente

O arquivo .sh contém um patch 'DIFF'. Eles mostram quais linhas foram removidas e adicionadas. Embora eu não o recomende, você poderá fazer o download manual dos arquivos via FTP, editar esses arquivos no editor de sua preferência e reenviá-los novamente através do FTP. O formato não é muito difícil de interpretar ; portanto, você pode fazer isso para todos os arquivos e não deve demorar mais do que alguns minutos.

Cipriano Groenendal
fonte
3
Se um patch for "aplicado" simplesmente editando os arquivos necessários para as novas versões, futuras tentativas de patch notificarão corretamente o usuário de que ele já foi corrigido?
Pspahn 17/04
4
Parece que pelo menos para SUPEE-5344 e SUPEE-1533, existe um tipo de log gravado em app / etc / applic.patches.list. Fornece informações gerais sobre o que o patch realmente fez. Eu fiz um grep para referência a esse arquivo na base de código do Magento, mas ele não retornou nada que pudesse significar que significa que pode não haver lógica para rastrear patches aplicados. NOTA LATERAL: Os patches parecem indistinguíveis dos principais hacks: magento.stackexchange.com/questions/26335/patch-or-core-hack
sparecycle
4
Este método requer que o servidor da Web tenha acesso de gravação aos arquivos. Se você usar esse método tenha absoluta certeza de que você altere perms voltar ao que eram para que o servidor web não pode gravar os arquivos além / mídia e / var
Kevin Schroeder
Ele diz que "ERRO:" / app / etc / "deve existir para o trabalho adequado da ferramenta". , por favor ajude
Tahir Yasin
3

No meu caso, uso o bitbucket na versão Maintenance e atualizo minhas alterações somente via bitBucket.

Então, o que eu faço Quando aplico os patches, aplique esse patch no meu sistema local e teste todas as coisas. que meu site está funcionando.

e empurre todos os chnages para bitbucket e, no site ao vivo, puxe todas as alterações e meu patch será aplicado.

Caso o que você faça, se não tiver acesso ssh, seja

1) Aplique o patch no local e envie as alterações para o bitbucket. O Bitbucket informa quais arquivos foram alterados desde a última confirmação.

2) faça o upload desses arquivos manualmente via FTP e seu patch será aplicado.

Murtuza Zabuawala
fonte
2

Aplicando patches Magento via FTP / sFTP ou FileManager / File Upload.

Método 1 :-

Para aplicar patches dessa maneira, simplesmente substituímos os arquivos alterados. Dessa forma, não pode ser usado às cegas se você ou seus desenvolvedores alteraram os arquivos principais do Magento (a propósito, o que é um grande não-não). Essas alterações devem ser aplicadas novamente aos arquivos corrigidos, ou você as perde.

visite os URLs abaixo para baixar os seguintes patches: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Método 2: -

Faça o download do arquivo de correção para https://magento.com/tech-resources/download#download1972 Faça o upload dos arquivos de correção na raiz do magento.

Crie um arquivo com o nome de patch.php, escreva o código a seguir,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Você executa o patch.php no navegador.

Se você estiver recebendo um erro como esse,

"Erro! Algumas ferramentas de sistema necessárias, utilizadas neste script sh, não estão instaladas; o" patch "da (s) ferramenta (s) está (ão) ausente (s), instale-o (eles).

Isso significa que as ferramentas do sistema não estão instaladas no seu servidor para executar o script sh.

Randhir Yadav
fonte
-2

Eu não acho que seja possível fazer isso sem acesso SSH, mas você sempre pode criar uma conta SSH no cpanel ou em qualquer outro painel que tenha e há uma grande chance de encontrar os tutoriais para criar uma conta SSH pela sua hospedagem A empresa apenas pesquisa no Google a "nome da sua empresa de hospedagem + criação de ssh".

WebDudor
fonte
-3

Faça o download dos patches (na verdade, apenas 1, pois 1 é para o EE e o outro para o CE).

cp -r public_html backup (substitua public_html pela instalação completa do magento)

Coloque o patch no FTP primeiro no diretório de backup e verifique tudo ok executando-o no backup. Sh patchname.sh

Tudo bem? Transferir o patch via FTP para a instalação e execução reais

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

o guia também aconselha "Para reaplicar a propriedade dos arquivos alterados pelo patch: Encontre o usuário do servidor da web: ps -o" comando do grupo de usuários "-C httpd, apache2 O valor na coluna USER é o nome do usuário do servidor da web. Normalmente, o usuário do servidor Web Apache no CentOS é apache e o servidor Apache no Ubuntu é www-data. Como um usuário com privilégios de root, digite o seguinte comando no diretório de instalação do Magento: chown -R web-server-user-name. Por exemplo, no Ubuntu, onde o Apache geralmente roda como www-data, digite chown -R www-data "

executando o comando ps como root, só obtive root como usuário e executei chown -R root e atrapalhei minha instalação, executei novamente com o nome de usuário da conta de usuário instalada e tudo estava bem

Acolhedor
fonte
Eu também usei esse script php para permissões de arquivo de limpeza em vez .. magenmarket.com/news-and-blog/...
Cozy
3
Você está sugerindo executar uma série de comandos, suponho, sobre SSH. A questão do OP é "como fazer isso sem SSH?" ...
7ochem
Ohp! Eu imploro seu perdão! Meu erro
Cozy