Recordatorio crítico: descargue e instale los parches de seguridad de Magento. (FTP sin acceso SSH)

50

Los parches de seguridad de Magento parecen .sharchivos, ¿cómo alguien aplicaría estos parches sin acceso SSH a sus instalaciones de Magento?

Además, ¿son acumulativos estos parches? IE: ¿Se incluirán en una versión futura de Magento o deben volver a aplicarse?

Estoy haciendo esta pregunta porque inicié sesión en mi panel de administración y recibí una advertencia de seguridad crítica:

Descargue e implemente 2 parches de seguridad importantes ( SUPEE-5344 y SUPEE-1533 ) desde la página de descarga de Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).

Si aún no lo ha hecho, descargue e instale 2 parches lanzados anteriormente que evitan que un atacante ejecute código de forma remota en el software Magento. Estos problemas afectan a todas las versiones de Magento Community Edition.

Un comunicado de prensa de Check Point Software Technologies en los próximos días hará que uno de estos problemas sea ampliamente conocido, posiblemente alertando a los piratas informáticos que pueden intentar explotarlo. Asegúrese de que los parches estén en su lugar como medida preventiva antes de que se publique el problema.

y esto a partir del 14 de mayo de 2015 :

Es importante que descargue e instale un nuevo parche de seguridad ( SUPEE-5994 ) desde la página de descarga de Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Aplique esta actualización crítica de inmediato para ayudar a proteger su sitio de la exposición a múltiples vulnerabilidades de seguridad que afectan a todas las versiones del software Magento Community Edition. Tenga en cuenta que este parche debe instalarse además del parche reciente de Shoplift (SUPEE-5344).

También recibí el siguiente correo electrónico:

Estimado comerciante de Magento,

Para proteger aún más la plataforma Magento de posibles ataques, estamos lanzando un nuevo parche (SUPEE-5994) con múltiples correcciones de seguridad críticas hoy. El parche aborda una variedad de problemas, incluidos los escenarios en los que los atacantes pueden obtener acceso a la información del cliente. Estas vulnerabilidades se recopilaron a través de nuestro programa de seguridad multipunto, y no hemos recibido informes de comerciantes o sus clientes afectados por estos problemas.

Todas las versiones del software Magento Community Edition se ven afectadas y le recomendamos que trabaje con su Partner de soluciones o desarrollador para implementar de inmediato este parche crítico. Tenga en cuenta que este parche debe instalarse además del parche reciente de Shoplift (SUPEE-5344). Puede encontrar más información sobre los problemas de seguridad en el Apéndice de la guía del usuario de Magento Community Edition.

Puede descargar el parche desde la página de descarga de Community Edition. Busque el parche SUPEE-5994. El parche está disponible para Community Edition 1.4.1– 1.9.1.1.

Asegúrese de implementar y probar el parche en un entorno de desarrollo primero para confirmar que funciona como se esperaba antes de implementarlo en un sitio de producción. La información sobre la instalación de parches en Magento Community Edition está disponible en línea.

Gracias por su atención a este problema.

ACTUALIZACIÓN 7 DE JULIO DE 2015

7 de julio de 2015: Nuevo parche de seguridad de Magento ( SUPEE-6285 ): instale de inmediato
Hoy proporcionamos un nuevo parche de seguridad ( SUPEE-6285 ) que aborda las vulnerabilidades críticas de seguridad. El parche está disponible para Community Edition 1.4.1 a 1.9.1.1 y es parte del código central de nuestra última versión, Community Edition 1.9.2, disponible para descargar hoy. TENGA EN CUENTA: Primero debe implementar SUPEE-5994 para asegurarse de que SUPEE-6285 funcione correctamente. Descargue Community Edition 1.9.2 o el parche de la página de descarga de Community Edition: https://www.magentocommerce.com/products/downloads/magento/

ACTUALIZACIÓN 4 DE AGOSTO DE 2015

4 de agosto de 2015: Nuevo parche de seguridad de Magento ( SUPEE-6482 ): instale de inmediato
Hoy proporcionamos un nuevo parche de seguridad ( SUPEE-6482 ) que aborda 4 problemas de seguridad; dos problemas relacionados con las API y dos riesgos de secuencias de comandos entre sitios. El parche está disponible para Community Edition 1.4 y versiones posteriores y es parte del código central de Community Edition 1.9.2.1, que está disponible para descargar hoy. Antes de implementar este nuevo parche de seguridad, primero debe implementar todos los parches de seguridad anteriores. Descargue Community Edition 1.9.2.1 o el parche de la página de descarga de Community Edition en https://www.magentocommerce.com/products/downloads/magento/

ACTUALIZACIÓN 27 OCT - 2015

27 de octubre de 2015: Nuevo parche de seguridad de Magento ( SUPEE-6788 ): instale de inmediato
hoy, estamos lanzando un nuevo parche ( SUPEE-6788 ) y Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 para abordar más de 10 problemas de seguridad, incluidos ejecución remota de código y vulnerabilidades de fuga de información. Este parche no está relacionado con el problema de malware Guruincsite . Asegúrese de probar primero el parche en un entorno de desarrollo, ya que puede afectar a extensiones y personalizaciones. Descargue el parche desde la página de descarga de Community Edition / Enterprise Edition Support Portal y obtenga más información en http://magento.com/security/patches/supee-6788 .

ACTUALIZACIÓN 20 DE ENERO DE 2016

Importante: Nuevo parche de seguridad ( SUPEE-7405 ) y lanzamiento - 20/01/2016
Hoy lanzamos un nuevo parche ( SUPEE-7405 ) y Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 para mejorar la seguridad de los sitios de Magento . No hay ataques confirmados relacionados con los problemas de seguridad, pero ciertas vulnerabilidades pueden ser potencialmente explotadas para acceder a la información del cliente o hacerse cargo de las sesiones de administrador. Puede descargar el parche y la versión de la página de descarga de Community Edition / MyAccount y obtener más información en https://magento.com/security/patches/supee-7405 .

ACTUALIZACIÓN 23 DE FEBRERO DE 2016

Las versiones actualizadas del parche SUPEE7405 ya están disponibles. Las actualizaciones agregan soporte para PHP 5.3 y solucionan problemas con permisos de carga de archivos, carritos de fusión y API SOAP experimentados con la versión original. NO abordan nuevos problemas de seguridad. Puede descargar el parche y la versión de la página de descarga de Community Edition / MyAccount y obtener más información en https://magento.com/security/patches/supee-7405 .

SR_Magento
fuente
44
También es interesante que utilicen un script de shell para aplicar el parche, pero no ofrecen ninguna URL para usar curlo wget- Es una tontería que tenga que iniciar sesión en la página de descarga, descargar el archivo, enviar el archivo FTP al sitio y luego aplicarlo.
pspahn
55
También vea: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 y verifique si todo está arreglado aquí: shoplift.byte.nl
Jeroen
66
Vale la pena señalar que todos los parches solo contienen un parche git estándar debajo de la línea __PATCHFILE_FOLLOWS__. Esto significa que puede copiar este contenido del archivo y agregarlo a un nuevo archivo con .patchextensión. Luego solo utilícelo git applypara aplicarlo.
Jonathan Hussey
Hola, ¿es posible que se instale más de un archivo de parche en Magento ...?
VijayS91

Respuestas:

35

Aplicar parches manualmente sin acceso SSH

Tienes un buen punto aquí. Los parches se suministran como .sharchivos y Magento no ofrece una solución para sitios web solo FTP.

Sugiero que uno copie el código de su sitio web a un entorno local a través de FTP (probablemente ya lo tenga). Luego aplique el parche ejecutando el .sharchivo.

Ahora debe averiguar qué archivos debe cargar nuevamente. Si abres el .sharchivo de parche, verás que consta de dos secciones:

  1. Código de shell Bash para aplicar el parche. Este código es general para cada parche.
  2. El parche real en forma de un formato de parche unificado . Esto indica solo las líneas en los archivos que se modificaron (incluidas algunas líneas de contexto). Esto comienza debajo de la línea__PATCHFILE_FOLLOWS__

En la segunda sección, puede leer qué archivos fueron / son afectados por el parche. Necesita cargar estos archivos nuevamente a su FTP o ... simplemente puede cargar todo.

Aplicar manualmente sin bash / shell

  1. Si no puede ejecutar .sharchivos (en Windows), puede extraer la segunda sección del parche (el parche unificado ) y aplicarlo manualmente con una herramienta de parcheo (o por ejemplo a través de PHPStorm ).
  2. El sitio web Magentary.com proporciona archivos ZIP para cada versión de Magento que contiene solo los archivos parcheados.

¿Parches en versiones actuales y futuras?

Los parches que se lanzan ahora se aplican a todas las versiones que ya se lanzaron. Por supuesto, podría Magento lanzar una nueva versión (mayor o menor). Luego contendrán todos los parches de seguridad ya que Magento también aplicará los parches a su base de código de desarrollo de forma natural (estos parches incluso se originan a partir de esa base de código;)).

ACTUALIZACIÓN : hasta el
último parche, Magento también ha lanzado nuevas versiones de Magento CE y EE que ya contienen el último parche específico. Vea la pestaña Release Archive en la página de descarga de Magento .

Consulte esta hoja, mantenida por JH, para saber qué parches instalar para qué versión de Magento CE y EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

7ochem
fuente
Hola, ¿es posible que se instale más de un archivo de parche en Magento ...?
VijayS91
gracias @ 7ochem, funcionó para mí +1 desde mi lado ......
Bebé en Magento
2
o use actualizaciones automáticas con el paquete del compositor github.com/firegento/magento
Aleksey Razbakov
66
El compositor nunca debe estar en el servidor de producción. primero ejecuta compositor, obtiene archivos actualizados, luego carga los archivos modificados. el nivel 2 es hacer eso con jenkins.
Aleksey Razbakov
2
Es cierto ... Construye e implementa ... Pero aún así, cuando usas FTP, probablemente no te interese. Sería demasiado amplio explicar eso completamente en esta respuesta también. Cómo configurar esto y cómo cargar solo los archivos modificados / agregados / eliminados (diferentes versiones y demás).
7ochem
24

Desafortunadamente, no hay una forma 'fácil' de instalar estos parches sin acceso a shell, pero hay dos formas de hacerlo.

Instalar parche a través de PHP

  1. Use un cliente FTP para cargar el parche específico en la raíz de su carpeta Magento.
  2. Cree un archivo PHP llamado applypatch.php que ejecutará el parche por usted y cárguelo en la raíz de su carpeta Magento. Asegúrese de usar el nombre de parche correcto aquí, si no usa el parche para la versión 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Visite el archivo en http://your.domain.com/applypatch.php y verifique si el resultado se ve como se esperaba.

Instalar parche manualmente

El archivo .sh contiene un parche 'DIFF'. Estos muestran qué líneas se eliminaron y agregaron. Si bien no lo aconsejo, debería poder descargar manualmente los archivos a través de FTP, editar estos archivos en el editor de su elección y luego volver a cargarlos nuevamente a través de FTP. El formato no es demasiado difícil de interpretar , por lo que puede hacer esto para todos los archivos y no debería tomar más de unos minutos.

Cipriano Groenendal
fuente
3
Si un parche se "aplica" simplemente editando los archivos necesarios a las nuevas versiones, ¿los intentos futuros de parchear notificarán correctamente al usuario que ya ha sido parcheado?
pspahn
44
Parece que al menos para SUPEE-5344 y SUPEE-1533, hay una especie de registro escrito en app / etc / apply.patches.list. Proporciona información general sobre lo que realmente hizo el parche. Hice un grep para referencia a este archivo en la base de código de Magento, pero no devolvió nada, lo que podría significar que es posible que no haya lógica para rastrear parches aplicados. NOTA LATERAL: Los parches parecen ser indistinguibles de los hacks principales: magento.stackexchange.com/questions/26335/patch-or-core-hack
sparecycle
44
Este método requiere que el servidor web tenga acceso de escritura a los archivos. Si utiliza este método, asegúrese ABSOLUTAMENTE de volver a cambiar los permisos a lo que eran para que el servidor web no pueda escribir en los archivos además de / media y / var
Kevin Schroeder
Dice "ERROR:" / app / etc / "debe existir para que la herramienta funcione correctamente". , por favor ayuda
Tahir Yasin
3

En mi caso, uso bitbucket para la versión Mantenimiento y realizo mis cambios solo a través de bitBucket.

Entonces, lo que hago cuando aplico los parches es aplicar ese parche en mi sistema local y probar todas las cosas. que mi sitio web está funcionando

y empuje todos los cambios a bitbucket y en el sitio en vivo extraiga todos los cambios y se aplica mi parche.

En caso de que lo que hagas si no tienes acceso ssh sea

1) Aplique el parche en local y envíe los cambios a bitbucket. Bitbucket le dice qué archivos se cambiaron desde la última confirmación.

2) cargue esos archivos manualmente a través de FTP y se aplicará su parche.

Murtuza Zabuawala
fuente
2

Aplicación de parches de Magento a través de FTP / sFTP o FileManager / File Upload.

Método 1 :-

Para aplicar parches de esta manera, simplemente reemplazamos los archivos modificados. Esta manera no se puede usar a ciegas si usted o sus desarrolladores han cambiado los archivos principales de Magento (que es un gran no-no, por cierto). Dichos cambios deben volver a aplicarse a los archivos parcheados, o perderá estos cambios.

visite amablemente las siguientes URL para descargar los siguientes parches: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Método 2: -

Descargue el archivo de parche en https://magento.com/tech-resources/download#download1972 Cargue archivos de parche en la raíz de magento.

Cree un archivo con el nombre de patch.php, escriba el siguiente código,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Ejecutas patch.php desde el navegador.

Si recibe un error como este,

"¡Error! Algunas herramientas del sistema requeridas, que se utilizan en este script sh, no están instaladas; se omite el" parche "de las herramientas, instálelas.

Eso significa que las herramientas del sistema no están instaladas en su servidor para ejecutar el script sh.

Randhir Yadav
fuente
-2

No creo que sea posible hacerlo sin acceso SSH, pero siempre puedes crear una cuenta SSH en el panel o en cualquier otro panel que tengas y hay una gran posibilidad de que encuentres los tutoriales para crear una cuenta SSH por tu Hosting La empresa simplemente busca en Google la "empresa de nombre de su hosting + creación de ssh".

WebDudor
fuente
-3

Descargue los parches (en realidad, solo 1, ya que 1 es para EE y el otro para CE) Le sugiero que ejecute la recuperación rápida primero ...

cp -r public_html backup (reemplace public_html con la instalación completa de magento)

Primero, envíe el parche al directorio de respaldo y verifique que todo esté bien ejecutándolo en el respaldo .. sh patchname.sh

¿Todo bien? FTP el parche a su instalación y ejecución reales

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

la guía también aconseja "Para volver a aplicar la propiedad a los archivos modificados por el parche: Busque el usuario del servidor web: ps -o" comando de grupo de usuarios "-C httpd, apache2 El valor en la columna USUARIO es el nombre de usuario del servidor web. el usuario del servidor web Apache en CentOS es apache y el usuario del servidor web Apache en Ubuntu es www-data. Como usuario con privilegios de root, ingrese el siguiente comando desde el directorio de instalación de Magento: chown -R web-server-user-name. Por ejemplo, en Ubuntu donde Apache generalmente se ejecuta como www-data, ingrese chown -R www-data "

ejecutando el comando ps como root, solo obtuve root como usuario y ejecuté chown -R root y encendí mi instalación, lo ejecuté nuevamente con el nombre de usuario de la cuenta de usuario en la que está instalado y todo fue bueno

Acogedor
fuente
También utilicé este script php para limpiar los permisos de archivo en su lugar ... magenmarket.com/news-and-blog/…
Cosy
3
Sugiere ejecutar una serie de comandos, supongo que a través de SSH. La pregunta del OP es "¿cómo hacer esto sin SSH?" ...
7ochem
Ohp! ¡Le ruego me disculpe! Mi error
Acogedor