SUPEE-10888 es un nuevo parche de seguridad para Magento 1 que aborda 12 problemas de seguridad.
https://magento.com/security/patches/supee-10888
SUPEE-10888, Magento Commerce 1.14.3.10 y Open Source 1.9.3.10 contienen múltiples mejoras de seguridad que ayudan a cerrar las secuencias de comandos entre sitios (XSS), la falsificación de solicitudes entre sitios (CSRF) y otras vulnerabilidades.
El parche se puede encontrar en https://magento.com/tech-resources/download#download2243
¿Qué problemas comunes debe tener en cuenta al aplicar este parche?
magento-1
patches
security
supee-10888
Luke Rodgers
fuente
fuente
Respuestas:
Los archivos a continuación se han cambiado / creado después de aplicar el parche
fuente
En los parches v1 originales con
2018-09-18
el nombre del archivo:Magento solucionó este problema en silencio lanzando nuevos archivos de parche. Aún así,
v1
pero con2018-09-19
el nombre del archivo.fuente
diff --git skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg
todas las líneas siguientes del archivo de parcheProblema con el parche
PATCH_SUPEE-10888_CE_v1.9.0.1_v1-2018-09-18-02-54-39.sh
en Vanilla Magento 1.8.1.0, con todos los parches anteriores instalados:De hecho, el archivo
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
no existe en 1.8.1.0, así que eliminé este cambio del archivo de revisión.No logré hacerlo con la
2018-09-19
versión actualizada del parche. Solo tuvo éxito con el archivoPATCH_SUPEE-10888_CE_v1.8.1.0_v1-2018-09-18-02-54-39
después de eliminar también elthumbnail.jpg
cambio como se explica en mi comentario en /magento//a/242823/13642fuente
SUPEE-10888 for CE 1.8.1.0-1.9.0.1 (0.06 MB)
Si está utilizando un tema personalizado y su tema anula cualquiera de los archivos a continuación, entonces debe agregar cambios manualmente en su tema
por ejemplo si ha agregado
en su tema, entonces tiene que hacer cambios manualmente en
Por ejemplo, encontrar estas líneas
y reemplazar por debajo
fuente
Como se describe en /magento//a/243531/142 , debe verificar todos los archivos de plantilla de interfaz personalizada e incluir los cambios del parche allí manualmente.
Además de eso, debe verificar su
account_password_reset_confirmation.html
plantilla de correo. Dependiendo de su tienda, ya sea debajoapp/locale/[LANG]/template/email/
o en el backend bajo Sistema> Correos electrónicos transaccionales para todos los idiomas. En todas las plantillas respectivas, debe cambiar_query_id=$customer.id
a_query_id=$customer.rp_customer_id
. El cambio se ha implementado de manera compatible con versiones anteriores, pero si desea incluir todas las mejoras de seguridad, no debe perderse este cambio.fuente
Hoy por la mañana me he aplicado el parche. Los archivos principales están en el backend de Magento.
Escapehtml agregó archivos
En Magento Commerce, se agregaron archivos distintos a los archivos anteriores:
No enfrento ningún problema hasta ahora.
fuente
En Magento EE 1.13.1.0
Patch está buscando un archivo incorrecto (archivo de la comunidad, creo).
Tuve que eliminar estas líneas del archivo de parche y aplicar. Se aplicó con éxito.
Notifiqué al equipo central de Magento y aún no recibimos comentarios.
fuente
El formulario de restablecimiento de contraseña ya no funciona después de instalar el parche en CE 1.7.0.2 con todos los parches anteriores instalados.
(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-18-03-00-22.sh)
EDITAR:
El problema ya no se produce después de revertir el parche desde el 18 de septiembre (v1) y aplicar el parche actualizado desde el 19 de septiembre (v1) + actualización de caché y borrar el caché de magento.
(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-19-03-01-22.sh)
fuente
Gracias, Robb por la pista.
SUPEE-10752 fue necesario para ser aplicado. También apliqué el parche de compatibilidad PHP 7.2 y eliminé el parche de compatibilidad Inchoo_PHP7 antes de instalar SUPEE-10888. Trabajó sin problemas.
fuente
Magento CE 1.6.2.0
Error de seguimiento una vez que se aplica el parche al intentar restablecer la contraseña de la cuenta del cliente en la interfaz.
Error fatal: Llame a una función miembro getBackend () en un no objeto en app / code / core / Mage / Eav / Model / Entity / Abstract.php en la línea 1536.
Resulta que el parche no ejecutó el script de actualización de SQL (app / code / core / Mage / Customer / sql / customer_setup / upgrade-1.6.1.0.1.2-1.6.1.0.1.3.php) que creó un nuevo atributo llamado rp_customer_id.
Verifique que haya borrado Magento Cache, pero lo más importante si tiene habilitado el barniz de caché, desactívelo. Después de deshabilitar todo el caché y limpiar el caché de barniz, el script SQL creó el nuevo atributo en la base de datos.
fuente
Encontró un pequeño error tipográfico en el parche para 1.14.2.0 a 1.14.2.4
En el archivo
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml
, realiza el siguiente cambio por error:<dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt>
en lugar de
<dt><?php echo $this->escapeHtml($this->getLinksTitle()); ?></dt>
Aquí está la diferencia para referencia:
diff --git app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml index 6ed3cd9bfd4..f8b1573605a 100644 --- app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml +++ app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml @@ -55,7 +55,7 @@ <!-- downloadable --> <?php if ($links = $this->getLinks()): ?> <dl class="item-options"> - <dt><?php echo $this->getLinksTitle() ?></dt> + <dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt> <?php foreach ($links->getPurchasedItems() as $link): ?> <dd><?php echo $this->escapeHtml($link->getLinkTitle()); ?></dd> <?php endforeach; ?>
fuente
Hay un error tipográfico
/app/code/core/Mage/Core/etc/system.xml
en<crate_admin_user_notification translate="label comment">
su interior ,<create_admin_user_notification translate="label comment">
pero no se rompe porque los usos también se escriben mal enif(Mage::getStoreConfigFlag('admin/security/crate_admin_user_notification')
fuente
Actualmente falla aquí en Magento CE 1.9.1.0.
Una verificación visual de los archivos fuente confirma que el código relevante no está allí.
...
Como se indicó, no existe tal archivo.
fuente
Solo un FYI para usuarios de EE, ya que este parche requiere SUPEE-10752, es posible que algunas sesiones se eliminen aleatoriamente o que su pago se redirija a la página de inicio en lugar de a la página de éxito.
Pasamos al proceso habitual de aplicar los siguientes parches en este orden:
Sin embargo, el parche SUPEE-10752 para EE contiene los siguientes cambios: app / code / core / Mage / Core / Model / Session / Abstract / Varien.php
Tuve que aplicar en la última parte el inválido_session_fix-2018-03-14-05-10-19.patch debajo que se encuentra en https://magento.com/tech-resources/download en SUPEE-10570 > invalid_session_fix.patch (0 MB)
fuente
He visto un problema con algunos clientes en los que nos llaman porque no pueden iniciar sesión y ver su cuenta.
El correo electrónico y la contraseña son correctos: no hay mensaje de error de inicio de sesión, la página simplemente se recarga en la página de inicio o la página de inicio de sesión, ¡parece que no pueden ingresar a su cuenta! Esto sucedió después de aplicar el parche 10888, y tenemos aplicado 10752.
Después de excavar encontré en la tabla
customer_entity
, y me despertó que los clientes afectados tienen una marca de tiempocreated_date
DESPUÉS de laupdated_date
. Creo que no debería ser así, ¿verdad?Entonces, para probar, cambié el created_date para que sea ANTES del updated_date, incluso por un minuto. Para algunos usuarios, esto solo les ayudó a volver a sus cuentas. Mientras que para otros usuarios también tuve que actualizar su contraseña a través de SQL, usando query:
No tengo que investigar a fondo los cambios que SUPEE 10888 hace en los archivos principales del cliente, pero definitivamente hay problemas con el parche.
Además, parece que no puedo actualizar la contraseña de los clientes a través del panel de administración como lo haría normalmente, al guardar, la página da como resultado un error.
Usando 1.9.2.4
fuente
Estoy usando Magento 1.9.3.7. Os es ubuntu. La versión de PHP es 7.0.
Cuando trató de aplicar la ruta SUPPER-10888 obteniendo el siguiente error.
ERROR: el parche no se puede aplicar / revertir con éxito.
la comprobación de la aplicación / código / core / Mage / Admin / Model / User.php Hunk # 2 tuvo éxito en 676 (desplazamiento -20 líneas). aplicación de comprobación de archivos / código / core / Mage / Admin / etc / config.xml aplicación de comprobación de archivos / código / core / Mage / Adminhtml / Block / Catalog / Product / Edit / Tab / Super / Config.php aplicación de aplicación / código de comprobación / core / Mage / Adminhtml / Block / Widget / Grid / Massaction / Abstract.php revisando la aplicación de archivo / code / core / Mage / Adminhtml / Model / LayoutUpdate / Validator.php Hunk # 2 FALLÓ en 57. Hunk # 3 tuvo éxito en 80 ( desplazamiento -12 líneas). Hunk # 4 tuvo éxito en 115 con fuzz 2 (offset -12 líneas). Hunk # 5 tuvo éxito en 139 con fuzz 1 (offset -21 líneas). Hunk # 6 tuvo éxito en 161 (offset -21 líneas). 1 de 6 hunks FALLÓ la aplicación del archivo de verificación / código / core / Mage / Adminhtml / controllers / Catalog / ProductController.php Hunk # 1 tuvo éxito en 1020 (desplazamiento -11 líneas). archivo de comprobación de la aplicación / código / core / Mage / Adminhtml / controllers / Permissions / UserController.php archivo de comprobación de la aplicación / código / core / Mage / Adminhtml / etc / config.xml archivo de comprobación de la aplicación / código / core / Mage / Checkout / Model / Api / Resource / Customer.php Hunk # 1 tuvo éxito en 151 con fuzz 1 (desplazamiento -1 líneas). comprobando la aplicación de archivo / código / core / Mage / Checkout / Model / Type / Onepage.php Hunk # 1 tuvo éxito en 731 con fuzz 1 (desplazamiento -3 líneas). aplicación de comprobación de archivos / código / core / Mage / Cms / Model / Wysiwyg / Images / Storage.php aplicación de comprobación de archivos / code / core / Mage / Core / etc / config.xml aplicación de comprobación de archivos / code / core / Mage / Core / etc / system.xml archivo de verificación app / code / core / Mage / Customer / Helper / Data.php archivo de verificación app / code / core / Mage / Customer / Model / Customer.php archivo de verificación app / code / core / Mage / Customer /Model/Resource/Customer.php Hunk # 1 tuvo éxito en 332 (desplazamiento -1 líneas). comprobando la aplicación de archivo / código / core / Mage / Customer / controllers / AccountController.php Hunk # 1 tuvo éxito en 755 (desplazamiento -1 líneas). Hunk # 2 tuvo éxito en 810 (desplazamiento -1 líneas). Hunk # 3 FALLÓ en 871. Hunk # 4 tuvo éxito en 883 (offset -2 líneas). 1 de cada 4 hunks FALLÓ la aplicación / código / core / Mage / Customer / etc / config.xml del archivo de comprobación Hunk # 1 FALLÓ a 28. 1 de 1 trozo FALLÓ la aplicación / código / core / Mage / Customer / sql / customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php archivo de verificación app / code / core / Mage / Paypal / Model / Express / Checkout.php archivo de verificación app / code / core / Mage / XmlConnect / controllers / ReviewController.php no puede encontrar el archivo para parchear en la línea de entrada 600 ¿Quizás usó la opción incorrecta -p o -strip? Hunk # 4 tuvo éxito en 883 (offset -2 líneas). 1 de cada 4 hunks FALLÓ la aplicación / código / core / Mage / Customer / etc / config.xml del archivo de comprobación Hunk # 1 FALLÓ a 28. 1 de 1 trozo FALLÓ la aplicación / código / core / Mage / Customer / sql / customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php archivo de verificación app / code / core / Mage / Paypal / Model / Express / Checkout.php archivo de verificación app / code / core / Mage / XmlConnect / controllers / ReviewController.php no puede encontrar el archivo para parchear en la línea de entrada 600 ¿Quizás usó la opción incorrecta -p o -strip? Hunk # 4 tuvo éxito en 883 (offset -2 líneas). 1 de cada 4 hunks FALLÓ la aplicación / código / core / Mage / Customer / etc / config.xml del archivo de comprobación Hunk # 1 FALLÓ a 28. 1 de 1 trozo FALLÓ la aplicación / código / core / Mage / Customer / sql / customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php archivo de verificación app / code / core / Mage / Paypal / Model / Express / Checkout.php archivo de verificación app / code / core / Mage / XmlConnect / controllers / ReviewController.php no puede encontrar el archivo para parchear en la línea de entrada 600 ¿Quizás usó la opción incorrecta -p o -strip?
El texto que condujo a esto fue:
| diff --git app / code / core / Zend / Filter / PregReplace.php app / code / core / Zend / Filter / PregReplace.php | index 586c0fe20a0..d6fa2dac0ec 100644 | --- app / code / core / Zend / Filter / PregReplace.php
| +++ aplicación / código / core / Zend / Filter / PregReplace.php
Archivo para parchear: ¿Saltar este parche? [y] Saltando parche. 2 de cada 2 trozos ignoraron la aplicación / diseño / adminhtml / default / default / template / bundle / product / edit / bundle / option.phtml Hunk # 1 FAILED at 209. 1 de 1 trozo FALLÓ la aplicación / diseño / adminhtml / default / default / template / bundle / sales / creditmemo / create / items / renderer.phtml archivo de verificación app / design / adminhtml / default / default / template / bundle / sales / creditmemo / view / items / renderer.phtml archivo de verificación app / design / adminhtml / default / default / template / bundle / sales / invoice / create / items / renderer.phtml que comprueba el archivo app / design / adminhtml / default / default / template / bundle / sales / invoice / view / items / renderer .phtml comprueba la aplicación de archivo / design / adminhtml / default / default / template / bundle / sales / order / view / items / render.
¿Alguna idea de lo que falta?
fuente