Pengingat Kritis: Unduh dan instal patch keamanan Magento. (FTP tanpa akses SSH)

50

Patch keamanan Magento terlihat seperti .shfile, bagaimana seseorang menerapkan patch ini tanpa akses SSH ke instalasi Magento mereka?

Juga, apakah tambalan ini bersifat kumulatif? IE: Apakah mereka akan dimasukkan dalam versi Magento di masa depan atau apakah mereka perlu diterapkan kembali?

Saya mengajukan pertanyaan ini karena saya masuk ke panel admin saya dan menerima peringatan keamanan kritis:

Unduh dan laksanakan 2 tambalan keamanan penting ( SUPEE- 5344 dan SUPEE-1533 ) dari halaman unduhan Edisi Komunitas Magento ( https://www.magentocommerce.com/products/downloads/magento/ ).

Jika Anda belum melakukannya, unduh dan instal 2 tambalan yang dirilis sebelumnya yang mencegah penyerang dari jauh mengeksekusi kode pada perangkat lunak Magento. Masalah-masalah ini mempengaruhi semua versi Edisi Komunitas Magento.

Siaran pers dari Check Point Software Technologies dalam beberapa hari mendatang akan membuat salah satu dari masalah ini diketahui secara luas, mungkin memperingatkan peretas yang mungkin mencoba untuk mengeksploitasinya. Pastikan tambalan sudah ada sebagai tindakan pencegahan sebelum masalah ini dipublikasikan.

dan ini pada 14 Mei 2015 :

Penting bagi Anda untuk mengunduh dan menginstal tambalan keamanan baru ( SUPEE-5994 ) dari halaman unduhan Edisi Komunitas Magento ( https://www.magentocommerce.com/products/downloads/magento/ ). Harap segera terapkan pembaruan penting ini untuk membantu melindungi situs Anda dari paparan berbagai kerentanan keamanan yang memengaruhi semua versi perangkat lunak Edisi Komunitas Magento. Harap dicatat bahwa tambalan ini harus diinstal sebagai tambahan untuk tambalan Penguntingan terbaru (SUPEE-5344).

Saya juga menerima email berikut:

Pedagang Magento yang terhormat,

Untuk lebih mengamankan platform Magento dari serangan potensial, kami merilis patch baru (SUPEE-5994) dengan beberapa perbaikan keamanan penting hari ini. Tambalan membahas berbagai masalah, termasuk skenario di mana penyerang dapat memperoleh akses ke informasi pelanggan. Kerentanan ini dikumpulkan melalui program keamanan multi-point kami, dan kami belum menerima laporan dari pedagang atau pelanggan mereka yang terkena dampak dari masalah ini.

Semua versi perangkat lunak Edisi Komunitas Magento terpengaruh dan kami sangat menyarankan agar Anda bekerja dengan Mitra Solusi atau pengembang Anda untuk segera menggunakan tambalan penting ini. Harap dicatat bahwa tambalan ini harus diinstal sebagai tambahan untuk tambalan Penguntingan terbaru (SUPEE-5344). Informasi lebih lanjut tentang masalah keamanan tersedia di Lampiran panduan pengguna Edisi Komunitas Magento.

Anda dapat mengunduh tambalan dari halaman unduhan Edisi Komunitas. Cari tambalan SUPEE-5994. Tambalan tersedia untuk Edisi Komunitas 1.4.1– 1.9.1.1.

Pastikan untuk menerapkan dan menguji tambalan di lingkungan pengembangan terlebih dahulu untuk mengonfirmasi bahwa patch berfungsi seperti yang diharapkan sebelum menempatkannya ke lokasi produksi. Informasi tentang menginstal tambalan di Magento Community Edition tersedia online.

Terima kasih atas perhatian Anda terhadap masalah ini.

PEMBARUAN 7 JULI 2015 -

7 Juli 2015: Patch Keamanan Magento Baru ( SUPEE-6285 ) - Instal Segera
Hari ini kami menyediakan patch keamanan baru ( SUPEE-6285 ) yang membahas kerentanan keamanan penting. Tambalan tersedia untuk Edisi Komunitas 1.4.1 hingga 1.9.1.1 dan merupakan bagian dari kode inti dari rilis terbaru kami, Edisi Komunitas 1.9.2, tersedia untuk diunduh hari ini. TOLONG DICATAT: Anda harus terlebih dahulu mengimplementasikan SUPEE-5994 untuk memastikan SUPEE-6285 berfungsi dengan baik. Unduh Community Edition 1.9.2 atau tambalan dari halaman unduh Community Edition: https://www.magentocommerce.com/products/downloads/magento/

UPDATE AGUSTUS 4 - 2015

4 Agustus 2015: Patch Keamanan Magento Baru ( SUPEE-6482 ) - Instal Segera
Hari ini kami menyediakan patch keamanan baru ( SUPEE-6482 ) yang membahas 4 masalah keamanan; dua masalah terkait dengan API dan dua risiko skrip lintas situs. Patch tersedia untuk Edisi Komunitas 1.4 dan rilis yang lebih baru dan merupakan bagian dari kode inti Edisi Komunitas 1.9.2.1, yang tersedia untuk diunduh hari ini. Sebelum menerapkan tambalan keamanan baru ini, Anda harus terlebih dahulu menerapkan semua tambalan keamanan sebelumnya. Unduh Community Edition 1.9.2.1 atau tambalan dari halaman unduhan Edisi Komunitas di https://www.magentocommerce.com/products/downloads/magento/

UPDATE OCT 27 - 2015

27 Oktober 2015: Patch Keamanan Magento Baru ( SUPEE-6788 ) - Instal Segera
Hari Ini, kami merilis patch baru ( SUPEE-6788 ) dan Edisi Komunitas 1.9.2.2/Enterprise Edition 1.14.2.2 untuk mengatasi 10+ masalah keamanan, termasuk eksekusi kode jarak jauh dan kerentanan kebocoran informasi. Patch ini tidak terkait dengan masalah malware Guruincsite . Pastikan untuk menguji tambalan di lingkungan pengembangan terlebih dahulu, karena dapat memengaruhi ekstensi dan penyesuaian. Unduh patch dari halaman Unduh Edisi Komunitas / Portal Dukungan Edisi Perusahaan dan pelajari lebih lanjut di http://magento.com/security/patches/supee-6788 .

UPDATE JAN 20 - 2016

Penting: Patch Keamanan Baru ( SUPEE-7405 ) dan Rilis - 1/20/2016
Hari ini, kami merilis patch baru ( SUPEE-7405 ) dan Edisi Komunitas 1.9.2.3 / Edisi Perusahaan 1.14.2.3 untuk meningkatkan keamanan situs Magento . Tidak ada serangan yang dikonfirmasi terkait dengan masalah keamanan, tetapi kerentanan tertentu berpotensi dieksploitasi untuk mengakses informasi pelanggan atau mengambil alih sesi administrator. Anda dapat mengunduh tambalan dan melepaskannya dari halaman Unduh Edisi Komunitas / MyAccount dan mempelajari lebih lanjut di https://magento.com/security/patches/supee-7405 .

UPDATE FEB 23 - 2016

Versi terbaru dari patch SUPEE7405 sekarang tersedia. Pembaruan menambahkan dukungan untuk PHP 5.3 dan mengatasi masalah dengan izin unggah file, menggabungkan gerobak, dan API SOAP yang berpengalaman dengan rilis asli. Mereka TIDAK mengatasi masalah keamanan baru. Anda dapat mengunduh tambalan dan melepaskannya dari halaman Unduh Edisi Komunitas / MyAccount dan mempelajari lebih lanjut di https://magento.com/security/patches/supee-7405 .

SR_Magento
sumber
4
Juga menarik bahwa mereka menggunakan skrip shell untuk menerapkan tambalan, tetapi tidak menawarkan URL untuk digunakan curlatau wget- Agak konyol Anda harus masuk pada halaman unduh, unduh file, FTP file ke situs, lalu terapkan.
pspahn
5
Lihat juga: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 dan periksa apakah semuanya sudah diperbaiki di sini: shoplift.byte.nl
Jeroen
6
Perlu dicatat bahwa semua tambalan hanya berisi tambalan git standar di bawah garis __PATCHFILE_FOLLOWS__. Ini berarti Anda dapat menyalin konten ini dari file dan menambahkannya ke file baru dengan .patchekstensi. Maka cukup gunakan git applyuntuk menerapkannya.
Jonathan Hussey
Hai, mungkinkah lebih dari satu file tambalan akan diinstal di Magento ..?
VijayS91

Jawaban:

35

Menerapkan tambalan secara manual tanpa akses SSH

Anda punya poin bagus di sini. Tambalan disediakan sebagai .shfile dan tidak ada solusi yang ditawarkan oleh Magento untuk situs web FTP saja.

Saya sarankan seseorang akan menyalin kode situs webnya ke lingkungan lokal melalui FTP (Anda mungkin sudah memilikinya). Kemudian terapkan tambalan dengan menjalankan .shfile.

Sekarang Anda perlu mencari tahu file mana yang perlu Anda unggah lagi. Jika Anda akan membuka .shfile tambalan, maka Anda akan melihatnya terdiri dari dua bagian:

  1. Kode shell Bash untuk menerapkan tambalan. Kode ini umum untuk setiap tambalan.
  2. Tambalan aktual dalam bentuk format tambalan terpadu . Ini menunjukkan hanya baris dalam file yang diubah (termasuk beberapa baris konteks). Ini dimulai di bawah garis__PATCHFILE_FOLLOWS__

Dari bagian kedua Anda bisa membaca file mana yang terpengaruh oleh tambalan. Anda perlu mengunggah file ini lagi ke FTP atau ... Anda bisa mengunggah semuanya.

Aplikasi secara manual tanpa bash / shell

  1. Jika Anda tidak dapat menjalankan .shfile (di Windows), maka Anda dapat mengekstrak bagian kedua tambalan ( tambalan terpadu ) dan menerapkannya secara manual dengan alat tambalan (atau misalnya melalui PHPStorm ).
  2. Situs web Magentary.com menyediakan file ZIP untuk setiap versi Magento yang hanya berisi file yang ditambal.

Tambalan dalam rilis saat ini & masa depan?

Patch yang dirilis sekarang berlaku untuk semua versi yang sudah dirilis. Tentu saja, mungkin Magento merilis versi baru (besar atau kecil). Kemudian mereka akan berisi semua tambalan keamanan karena Magento juga akan menerapkan tambalan ke basis kode pengembangan mereka secara alami (tambalan ini bahkan berasal dari basis kode itu;)).

PEMBARUAN :
Setiap tambalan terakhir Magento juga telah merilis versi baru Magento CE dan EE yang sudah berisi tambalan terbaru spesifik. Lihat tab Rilis Arsip di halaman unduhan Magento .

Periksa lembar ini, dikelola oleh JH, untuk tambalan mana yang harus dipasang untuk versi Magento CE dan EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

7ochem
sumber
Hai, mungkinkah lebih dari satu file tambalan akan diinstal di Magento ..?
VijayS91
terima kasih @ 7ochem, ini berhasil untuk saya +1 dari sisi saya ......
Baby in Magento
2
atau gunakan pembaruan otomatis dengan paket komposer github.com/firegento/magento
Aleksey Razbakov
6
komposer tidak boleh berada di server produksi. pertama Anda menjalankan komposer, dapatkan file yang diperbarui, lalu unggah file yang diubah. level 2 adalah melakukan itu dengan jenkins.
Aleksey Razbakov
2
Benar ... Bangun & sebarkan ... Tapi tetap saja, ketika Anda menggunakan FTP, Anda mungkin tidak menyukainya. Akan luas untuk menjelaskan itu sepenuhnya dalam jawaban ini juga. Cara mengatur ini dan cara mengunggah hanya file yang diubah / ditambahkan / dihapus (versi dan hal-hal berbeda).
7ochem
24

Sayangnya, tidak ada cara 'mudah' untuk menginstal tambalan ini tanpa akses shell, tetapi ada dua cara untuk melakukannya.

Instal tambalan melalui PHP

  1. Gunakan klien FTP untuk mengunggah tambalan khusus ke root folder Magento Anda.
  2. Buat file PHP yang disebut applypatch.php yang akan menjalankan patch untuk Anda, dan unggah ke root folder Magento Anda. Pastikan untuk menggunakan nama tambalan yang tepat di sini, jika Anda tidak menggunakan tambalan untuk versi 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Kunjungi file di http://your.domain.com/applypatch.php , dan periksa apakah outputnya seperti yang diharapkan.

Instal tambalan secara manual

File .sh berisi tambalan 'DIFF'. Ini menunjukkan garis apa yang dihapus dan ditambahkan. Meskipun saya tidak menyarankannya, Anda seharusnya dapat mengunduh file secara manual melalui FTP, dan mengedit file-file ini dalam editor pilihan Anda, dan kemudian mengunggahnya kembali melalui FTP. Formatnya tidak terlalu sulit untuk ditafsirkan , jadi Anda bisa melakukan ini untuk semua file dan tidak perlu lebih dari beberapa menit.

Cipriano Groenendal
sumber
3
Jika tambalan "diterapkan" hanya dengan mengedit file yang diperlukan untuk versi baru, akankah upaya di masa depan untuk menambal dengan benar memberi tahu pengguna bahwa tambalan itu sudah ditambal?
pspahn
4
Tampaknya setidaknya untuk SUPEE-5344 dan SUPEE-1533, ada semacam log yang ditulis untuk app /etc/berapan.patches.list. Memberikan informasi umum tentang apa yang sebenarnya dilakukan patch. Saya melakukan grep untuk referensi ke file ini dalam basis kode Magento tetapi tidak menghasilkan apa-apa yang dapat berarti mungkin tidak ada logika untuk melacak patch yang diterapkan. CATATAN SISI: Tambalan tampaknya tidak dapat dibedakan dari peretasan inti: magento.stackexchange.com/questions/26335/patch-or-core-hack
sparecycle
4
Metode ini mengharuskan server web untuk memiliki akses tulis ke file. Jika Anda menggunakan metode ini, BENAR-BENAR yakin bahwa Anda mengubah perms kembali ke apa yang mereka sehingga server web tidak dapat menulis ke file selain / media dan / var
Kevin Schroeder
Ia mengatakan "ERROR:" / app / etc / "harus ada untuk pekerjaan alat yang tepat." , tolong bantu
Tahir Yasin
3

Dalam kasus saya, saya menggunakan bitbucket untuk Pemeliharaan versi dan melakukan perubahan langsung melalui bitBucket saja.

Jadi Yang Saya Lakukan Ketika saya menerapkan tambalan adalah, terapkan tambalan itu di sistem lokal saya dan uji semua hal. bahwa situs web saya berfungsi.

dan dorong semua chnages ke bitbucket dan di situs langsung tarik semua perubahan dan tambalan saya diterapkan.

Dalam hal apa yang Anda lakukan jika Anda tidak memiliki akses ssh

1) Terapkan tambalan di lokal dan dorong perubahan ke bitbucket. Bitbucket memberi tahu Anda file mana yang diubah dari komit terakhir.

2) unggah file itu secara manual melalui FTP dan tambalan Anda diterapkan.

Murtuza Zabuawala
sumber
2

Menerapkan tambalan Magento melalui FTP / sFTP atau FileManager / File Upload.

Metode 1: -

Untuk menerapkan tambalan dengan cara ini kami cukup mengganti file yang diubah. Cara ini tidak dapat digunakan secara membabi buta jika Anda atau pengembang Anda telah mengubah file inti Magento apa pun (yang merupakan cara yang tidak boleh dilakukan). Perubahan tersebut harus diterapkan kembali ke file yang ditambal, atau Anda kehilangan perubahan ini.

silakan kunjungi URL di bawah ini untuk mengunduh tambalan berikut: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Metode 2: -

Unduh file tambalan ke https://magento.com/tech-resources/download#download1972 Unggah file tambalan di root magento.

Buat satu file dengan nama patch.php, tulis kode berikut di dalamnya,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Anda menjalankan patch.php dari browser.

Jika Anda mendapatkan kesalahan seperti ini,

"Kesalahan! Beberapa alat sistem yang diperlukan, yang digunakan dalam skrip sh ini, tidak diinstal; Alat" tambalan "tidak terjawab, silakan pasang (mereka).

Itu berarti alat sistem tidak diinstal di server Anda untuk menjalankan skrip sh.

Randhir Yadav
sumber
-2

Saya tidak berpikir itu mungkin dilakukan tanpa akses SSH tetapi Anda selalu dapat membuat akun SSH di cpanel atau panel lain yang Anda punya dan ada kemungkinan besar Anda akan menemukan tutorial untuk membuat akun SSH oleh Hosting Anda Perusahaan hanya google "nama-of-your-hosting perusahaan Anda + ssh menciptakan".

WebDudor
sumber
-3

Unduh tambalannya (Sebenarnya hanya 1, karena 1 untuk EE dan lainnya untuk CE) Sarankan Anda lari cepat kembali dulu ....

backup cp -r public_html (ganti public_html dengan instalasi magento lengkap)

FTP tambalan ke direktori cadangan terlebih dahulu dan periksa semua ok dengan menjalankannya pada cadangan .. sh patchname.sh

Semua baik-baik saja? FTP tambalan ke instalasi & jalankan Anda yang sebenarnya

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

panduan ini juga menyarankan "Untuk mengajukan kembali kepemilikan ke file yang diubah oleh tambalan: Temukan pengguna server web: ps -o" perintah grup pengguna "-C httpd, apache2 Nilai dalam kolom USER adalah nama pengguna server web. Biasanya, pengguna server web Apache di CentOS adalah apache dan pengguna server web Apache di Ubuntu adalah www-data. Sebagai pengguna dengan hak akses root, masukkan perintah berikut dari direktori instalasi Magento: chown -R web-server-user-name-name. Sebagai contoh, di Ubuntu di mana Apache biasanya berjalan sebagai www-data, masukkan chown -R www-data "

menjalankan perintah ps sebagai root, saya hanya mendapatkan root sebagai pengguna dan menjalankan chown -R root dan menginstal saya, saya menjalankannya lagi dengan nama pengguna dari akun pengguna yang diinstal dan semuanya baik-baik saja

Nyaman
sumber
saya juga menggunakan skrip php ini untuk membersihkan izin file sebagai gantinya .. magenmarket.com/news-and-blog/…
Cozy
3
Anda menyarankan untuk menjalankan serangkaian perintah, saya kira lebih dari SSH. Pertanyaan OP adalah "bagaimana melakukan ini tanpa SSH?" ...
7ochem
Ohp! Maafkan saya! Kesalahan saya
Nyaman