Saatnya untuk hari tambalan lain, SUPEE-7405 untuk Magento 1.x keluar dan daftar perbaikannya panjang: https://magento.com/security/patches/supee-7405
Setelah pengalaman dengan tambalan terakhir, saya harus bertanya lagi: apa masalah yang mungkin terjadi ketika menerapkan tambalan dan apa yang perlu saya pertimbangkan?
Banyak masalah XSS diperbaiki lagi, jadi saya berharap untuk menambal tema khusus secara manual. Ada yang lain? Apakah ada perubahan yang tidak kompatibel ke belakang?
security
patches
magento-1
supee-7405
Fabian Schmengler
sumber
sumber
Jawaban:
Pembaruan 23 Februari 2016 : Tambalan telah diperbarui ke V1.1, yang memperbaiki sejumlah masalah penting yang tercantum dalam pos ini, berikut daftarnya:
Setelah menggali ke dalam tambalan, berikut adalah hal-hal yang relevan / menarik yang saya temukan (NB: daftar ini dibuat dengan menganalisis tambalan untuk CE 1.9.2.0-1.9.2.2, mungkin ada lebih banyak tambalan yang mempengaruhi versi Magento yang lebih lama) :
Penggunaan[]
bukannyaarray()
dalam tambalan ini membuatnya mundur tidak kompatibel dengan PHP <5.4 (lihat masalah yang diketahui di bawah)Mage_Admin_Model_Observer
Mage_Adminhtml_IndexController
Mage_Adminhtml_IndexController
getDeleteUrl
ofMage_Checkout_Block_Cart_Item_Renderer
dan divalidasi dideleteAction
dariMage_Checkout_CartController
.controller_action_postdispatch_checkout_onepage_saveOrder
menjadicontroller_action_postdispatch_checkout_onepage_saveorder
). Ini tidak mempengaruhi konfigurasi pengamat lokal Anda . Informasi lebih lanjut di sini: https://twitter.com/foomanNZ/status/689924329065164800Mage_Core_Model_File_Validator_Image
System => Configuration =>Advanced > System => Escape CSV Fields
admin_user_validate
bawahMage_Admin_Model_User
Mage_Authorizenet_Helper_Admin
) yang digunakan untuk mendapatkan url urutan keberhasilan.Zend_Xml_Security
. Tujuannya adalah untuk memindai string XML untuk potensi serangan XXE dan XEE. Namun saya tidak menemukan referensi untuk itu di file yang dimodifikasi lainnya.Masalah yang diketahui setelah menambal:
Saya akan mencoba untuk menjaga daftar ini sebagai yang terbaru.
Sebelum memulai masalah / pertanyaan baru, harap pastikan Anda telah menerapkan semua tambalan sebelumnya karena sepertinya banyak masalah berasal dari tambalan yang hilang.
Hal lain adalah: jika Anda telah memodifikasi file inti, menerapkan tambalan mungkin gagal. Jika Anda memiliki
Hunk # failed at
kesalahan untuk file tertentu dan Anda 100% yakin Anda telah menerapkan semua tambalan sebelumnya, pastikan Anda memiliki file asli dari versi Magento Anda dengan memeriksa mirror: https://github.com / OpenMage / magento-mirror /Halaman tampilan pesanan admin kosong / rusak => Terkait dengan PHP <5,4 ketidakcocokan. => Perbaikan dapat ditemukan di sini: https://magento.stackexchange.com/a/98237/2380 / Saya telah membuat laporan bug: https://www.magentocommerce.com/bug-tracking/issue/index/ id / 1266 (kredit: @ Moonman67).URL SOAP API/index.php/api/v2_soap/index/?wsdl=1
melempar 500 kesalahan => Saya telah mengembangkan perbaikan hacky untuk ini yang dapat ditemukan di sini: https://magento.stackexchange.com/a/98790/2380 / Saya juga telah membuat laporan bug untuk yang ini: https://www.magentocommerce.com/bug-tracking/issue/index/id/1265 (kredit: @ Moonman67)Masalah tentang izin unggah fileapp/code/core/Mage/Core/Model/Config.php
(mungkin hanya EE): SUPEE 7405 Edisi Perusahaan Kesalahan fatalMage_Core_Helper_Abstract::escapeHtml()
pada 1.4.0.1 : Kesalahan setelah menginstal patch 7405 di Magento 1.4.0.1_singleton/Mage_Core_Model_Domainpolicy
penyihir sudah ada di Magento 1.7: Security Patch SUPEE-7405 ErrorMasalah yang menerapkan tambalan di 1.7.0.2 : Masalah Keamanan SUPEE-7405Masalah menerapkan tambalan pada 1.8.1 : supee 7405 Hunk # 2 GAGAL di 472. Magento 1.8.1Antrian email rusak setelah tambalan : Magento 1.9.2.3 Antrian Email tidak berfungsiDaftar file yang terpengaruh
Itu dapat ditemukan di halaman ini di sini: https://magento.stackexchange.com/a/98232/2380 (kredit @MagenX)
Hanya EE
Mengenai Patch 7616:
Kemungkinan masalah saat menerapkan 7616 sebelum menerapkan 7405 : SUPEE 7405 - Hunk # 2 Gagal pada 43Sumber daya bagus tentang tambalan Magento
Jangan ragu untuk memberi tahu saya jika saya melewatkan sesuatu.
sumber
Satu masalah yang saya perhatikan adalah bahwa jika situs Anda menggunakan versi kurang dari PHP 5.4 tambalan tidak kompatibel.
Di kelas
Mage_Adminhtml_Helper_Sales
sekitar nomor baris 124. Kode tersebut adalah:Saya perlu memperluas ini menjadi:
Kesalahan lain yang saya temui tampaknya melibatkan cookie yang telah saya atur. Setelah saya menghapus cookie saya, semua halaman telah dimuat dengan baik.
Contoh Kesalahan:
Saya tidak yakin apakah ada orang lain yang mengalami masalah ini, tetapi harap ini membantu!
sumber
Inilah masalah yang saya temukan ketika menambal Magento CE dengan SUPEE-7405. Itu menggantikan baris:
dengan:
dalam file
lib/Varien/File/Uploader.php
Ini menghentikan gambar saya yang ditampilkan di bagian belakang, karena izin file ini sebenarnya harus 644. Apakah ada alasan ini telah diatur ke 640?
sumber
chown USERNAME:nobody -R public_html
find ./public_html -type d -exec chmod g+s {} \;
Ketika melamar Magento 1.7.0.0 mencoba menghapus komentar pada
app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
-/* @var $_helper Mage_Authorizenet_Helper_Data */
1.7.0.0 - https://raw.githubusercontent.com/OpenMage/magento-mirror/1.7.0.0/app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
yang tidak ditambahkan hingga 1.7.0.1 https://raw.githubusercontent.com/OpenMage/magento-mirror/1.7.0.1/app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
sumber
file-file ini ditambal, Anda dapat melihat dampak yang mungkin terjadi:
templat: templat admin sebagian besar ditambal.
inti / libs:
================================================== ======================= ps hanya untuk menjaga semua bersama-sama, kami telah membuat beberapa multipatch "no-brainer" untuk menambal banyak server dengan beberapa instalasi magento. multipatch-7405.sh
sumber
Ini adalah paket tes dasar saya:
sumber
Harap perhatikan masalah sesi yang baru saja ditemukan dan diperbaiki (?) Oleh Colin Mollenhour .
https://gist.github.com/colinmollenhour/5066a3220881a9c0c2dd42fa1593cbff/revisions
sumber
Jika Anda memperbarui dari Magento EE 1.14.2.x ke Magento EE 1.14.2.3 daripada menerapkan tambalan, dan juga menerapkan tambalan dukungan SUPEE-5984 sebelumnya, Anda harus mengajukan permohonan kembali karena tidak termasuk dalam rilis .
Ini adalah patch yang memperbaiki pengindeks yang rusak: Kesalahan indeks setelah memutakhirkan ke EE 1.14.2.0: tabel catalog_product_entity_tmp_indexer tidak ada
sumber
Pada 23 Februari 2016, Magento telah merilis tambalan untuk tambalan untuk mengatasi banyak masalah ini: https://magento.com/security/patches/supee-7405
Anda perlu menerapkan SUPEE_7405_v1 kemudian SUPEE_7405_v1.1 secara berurutan.
sumber
Cuplikan layar untuk laman detail pesanan admin, Jika menampilkan masalah jenis ini, Ikuti petunjuk di bawah ini yang berfungsi untuk saya !!
Larutan
sumber
Setiap kali kami memasang tambalan untuk salah satu klien kami, kami menggunakan daftar periksa berikut:
app/etc/applied.patches.list
file)Saya kira hanya itu yang ada di sana. Tambalan dirancang untuk dipasang dengan cepat dan tanpa kerumitan. 9 dari 10 kali mereka akan menginstal dengan sangat baik dan di lain waktu kami memiliki cadangan. Selama Anda tidak main-main dengan file inti semuanya harus baik-baik saja.
sumber
app/etc/applied.patches.list
di sini file yang terpengaruh untuk Magento EE
sumber
Setelah menerapkan SUPEE-7405 di Magento 1.14.1.0 saya mendapatkan kesalahan:
Masalahnya disebabkan oleh mendeklarasikan kembali metode _validateControllerInstance di
Setelah menghapus deklarasi fungsi kedua (sama), masalah telah terpecahkan.
sumber
Saya mendapat kesalahan berikut setelah menginstal patch SUPEE-7405 ketika mencoba masuk ke admin.
karena saya telah menimpa file ini dalam kumpulan kode lokal yang tidak memiliki
sendHeadersAndExit
metode yang dibuat oleh tambalan ini.\app\code\local\Mage\Core\Controller\Response\Http.php
metode berikut tidak ada. (Ini adalah metode baru yang ditambahkan ke file inti)Setelah menambahkan ini ke masalah file yang ditimpa hilang.
sumber
Salah satu masalah yang saya dapatkan ketika menggunakan SUPEE-7405 adalah Image Upload Bugs
Oleh karena itu, saya memeriksa perubahan pada file ini: lib / Varien / File / Uploader.php
Kemudian, saya menemukan dua cara untuk mengatasinya:
Pilihan 1:
Saya melakukan perubahan manual pada file lib / Varien / File / Uploader.php untuk menyesuaikan izin 0640/0750.
Opsi 2: Karena Magento mengharapkan server web untuk memiliki file situs:
http://devdocs.magento.com/guides/m1x/install/installer-privileges_after.html#privs-after
Cara lain untuk menyelesaikan masalah adalah menjadikan server web pemilik file
chown -R web-server-nama pengguna magento / root / path
Nama pengguna server web biasanya adalah www-data atau apache.
sumber