Após semanas de espera pelo patch de hoje (27.10.2015), foi lançado: SUPEE-6788
Muitas coisas foram corrigidas e também é encorajado a revisar os módulos instalados quanto a possíveis vulnerabilidades.
Abro este post para obter algumas informações sobre como aplicar o patch. Quais são as etapas para aplicar o patch? Para meu entendimento, estas são as etapas:
- Corrija os módulos com a funcionalidade de administrador que não está na URL do administrador
- Corrija módulos que usam instruções SQL como nomes de campos ou campos de escape
- Blocos de lista branca ou diretivas que usam variáveis como
{{config path=”web/unsecure/base_url”}}
e{{bloc type=rss/order_new}}
- Abordando a exploração potencial com o tipo de arquivo de opção personalizada (não faço idéia de como fazer isso)
- Aplique o patch
Esse é o procedimento correto?
admin
security
patches
supee-6788
lloiacono
fonte
fonte
.htaccess.sample
, bem como.htaccess
. Este último é personalizado na maioria das lojas, isso fará com que o patch falhe => Você precisa substituí-lo temporariamente pelo arquivo original do Magento, aplicar o patch, restaurar seu próprio .htaccess e aplicar a alteração que protege o acessocron.php
manualmente (não t usar o sistema de produção para este processo é claro)!Respostas:
Em geral, você pode aplicar o patch como todos os anteriores. Dê uma olhada na documentação oficial e verifique este post do SE . Mas sim, existem alguns pontos adicionais que você deve verificar ao aplicar esse patch. Byte / Hypernode tem um bom post sobre isso.
template/customer/form/register.phtml
ou costumetemplate/persistent/customer/form/register.phtml
. Se for esse o caso, verifique se ele inclui aform_key
.layout/customer.xml
. Se for esse o caso, certifique-se de aplicar as alterações necessárias do patch (customer_account_resetpassword
foi alterado paracustomer_account_changeforgotten
).cron.php
via HTTP? Certifique-se de usar melhorcron.sh
. Se isso não for possível, certifique-se de chamar o cron.php via CLI PHP. Se, por algum motivo, você não puder configurar um cronjob real e precisar executá-lo via HTTP, consulte esta pergunta SEAo atualizar, exclua o arquivo
dev/tests/functional/.htaccess
. Não está mais presente no Magento 1.9.2.2. Mantê-lo significa que você ainda está vulnerável.De qualquer forma, verifique sua página com o MageReport após a atualização para ver se tudo correu bem.
Há também uma postagem técnica no blog da Piotr , que descreve as mudanças críticas.
fonte
Há um arquivo de verificação que ajuda a identificar problemas: https://github.com/gaiterjones/magento-appsec-file-check
Eu fiz um script CLI com isso. https://github.com/Schrank/magento-appsec-file-check
fonte
Para o Nginx, certifique-se de bloquear o acesso ao cron.php e à pasta dev. Nós usamos este bloco:
fonte
Acabei de aplicar o patch no meu 1.10.1 EE e isso causa efeitos colaterais nas telas nativas porque o núcleo não é compatível com APPSEC-1063:
Exemplo:
Em
app/code/core/Mage/Customer/Model/Entity/Attribute/Collection.php
Você pode encontrar 2
addFieldToFilter
chamadas não compatíveis com APPSEC-1063.Isso está quebrando as grades Customer> Attribute, então você deve corrigir o patch usando o truque recomendado no pdf "SUPEE-6788-Technical% 20Details% 20.pdf" na seção APPSEC-1063
Mudando os vários
(onde $ field contém instruções sql complexas (CASE .. WHEN THEN ...))
para dentro
Tanto o supee-6788-toolbox como o gaiterjones não detectaram esse tipo de problema, verifiquei todos os outros -> addFieldToFilter ($ e nenhum parece estar causando o problema.
Outros arquivos principais do 1.10 afetados: (encontrados pela rhoerr's supee-6788-toolbox)
Pode haver mais.
fonte