Los parches de seguridad de Magento parecen .sharchivos, ¿cómo alguien aplicaría estos parches sin acceso SSH a sus instalaciones de Magento?

Además, ¿son acumulativos estos parches? IE: ¿Se incluirán en una versión futura de Magento o deben volver a aplicarse?

Estoy haciendo esta pregunta porque inicié sesión en mi panel de administración y recibí una advertencia de seguridad crítica:

Descargue e implemente 2 parches de seguridad importantes ( SUPEE-5344 y SUPEE-1533 ) desde la página de descarga de Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).

Si aún no lo ha hecho, descargue e instale 2 parches lanzados anteriormente que evitan que un atacante ejecute código de forma remota en el software Magento. Estos problemas afectan a todas las versiones de Magento Community Edition.

Un comunicado de prensa de Check Point Software Technologies en los próximos días hará que uno de estos problemas sea ampliamente conocido, posiblemente alertando a los piratas informáticos que pueden intentar explotarlo. Asegúrese de que los parches estén en su lugar como medida preventiva antes de que se publique el problema.

y esto a partir del 14 de mayo de 2015 :

Es importante que descargue e instale un nuevo parche de seguridad ( SUPEE-5994 ) desde la página de descarga de Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Aplique esta actualización crítica de inmediato para ayudar a proteger su sitio de la exposición a múltiples vulnerabilidades de seguridad que afectan a todas las versiones del software Magento Community Edition. Tenga en cuenta que este parche debe instalarse además del parche reciente de Shoplift (SUPEE-5344).

También recibí el siguiente correo electrónico:

Estimado comerciante de Magento,

Para proteger aún más la plataforma Magento de posibles ataques, estamos lanzando un nuevo parche (SUPEE-5994) con múltiples correcciones de seguridad críticas hoy. El parche aborda una variedad de problemas, incluidos los escenarios en los que los atacantes pueden obtener acceso a la información del cliente. Estas vulnerabilidades se recopilaron a través de nuestro programa de seguridad multipunto, y no hemos recibido informes de comerciantes o sus clientes afectados por estos problemas.

Todas las versiones del software Magento Community Edition se ven afectadas y le recomendamos que trabaje con su Partner de soluciones o desarrollador para implementar de inmediato este parche crítico. Tenga en cuenta que este parche debe instalarse además del parche reciente de Shoplift (SUPEE-5344). Puede encontrar más información sobre los problemas de seguridad en el Apéndice de la guía del usuario de Magento Community Edition.

Puede descargar el parche desde la página de descarga de Community Edition. Busque el parche SUPEE-5994. El parche está disponible para Community Edition 1.4.1– 1.9.1.1.

Asegúrese de implementar y probar el parche en un entorno de desarrollo primero para confirmar que funciona como se esperaba antes de implementarlo en un sitio de producción. La información sobre la instalación de parches en Magento Community Edition está disponible en línea.

Gracias por su atención a este problema.

ACTUALIZACIÓN 7 DE JULIO DE 2015

7 de julio de 2015: Nuevo parche de seguridad de Magento ( SUPEE-6285 ): instale de inmediato
Hoy proporcionamos un nuevo parche de seguridad ( SUPEE-6285 ) que aborda las vulnerabilidades críticas de seguridad. El parche está disponible para Community Edition 1.4.1 a 1.9.1.1 y es parte del código central de nuestra última versión, Community Edition 1.9.2, disponible para descargar hoy. TENGA EN CUENTA: Primero debe implementar SUPEE-5994 para asegurarse de que SUPEE-6285 funcione correctamente. Descargue Community Edition 1.9.2 o el parche de la página de descarga de Community Edition: https://www.magentocommerce.com/products/downloads/magento/

ACTUALIZACIÓN 4 DE AGOSTO DE 2015

4 de agosto de 2015: Nuevo parche de seguridad de Magento ( SUPEE-6482 ): instale de inmediato
Hoy proporcionamos un nuevo parche de seguridad ( SUPEE-6482 ) que aborda 4 problemas de seguridad; dos problemas relacionados con las API y dos riesgos de secuencias de comandos entre sitios. El parche está disponible para Community Edition 1.4 y versiones posteriores y es parte del código central de Community Edition 1.9.2.1, que está disponible para descargar hoy. Antes de implementar este nuevo parche de seguridad, primero debe implementar todos los parches de seguridad anteriores. Descargue Community Edition 1.9.2.1 o el parche de la página de descarga de Community Edition en https://www.magentocommerce.com/products/downloads/magento/

ACTUALIZACIÓN 27 OCT - 2015

27 de octubre de 2015: Nuevo parche de seguridad de Magento ( SUPEE-6788 ): instale de inmediato
hoy, estamos lanzando un nuevo parche ( SUPEE-6788 ) y Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 para abordar más de 10 problemas de seguridad, incluidos ejecución remota de código y vulnerabilidades de fuga de información. Este parche no está relacionado con el problema de malware Guruincsite . Asegúrese de probar primero el parche en un entorno de desarrollo, ya que puede afectar a extensiones y personalizaciones. Descargue el parche desde la página de descarga de Community Edition / Enterprise Edition Support Portal y obtenga más información en http://magento.com/security/patches/supee-6788 .

ACTUALIZACIÓN 20 DE ENERO DE 2016

Importante: Nuevo parche de seguridad ( SUPEE-7405 ) y lanzamiento - 20/01/2016
Hoy lanzamos un nuevo parche ( SUPEE-7405 ) y Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 para mejorar la seguridad de los sitios de Magento . No hay ataques confirmados relacionados con los problemas de seguridad, pero ciertas vulnerabilidades pueden ser potencialmente explotadas para acceder a la información del cliente o hacerse cargo de las sesiones de administrador. Puede descargar el parche y la versión de la página de descarga de Community Edition / MyAccount y obtener más información en https://magento.com/security/patches/supee-7405 .

ACTUALIZACIÓN 23 DE FEBRERO DE 2016

Las versiones actualizadas del parche SUPEE7405 ya están disponibles. Las actualizaciones agregan soporte para PHP 5.3 y solucionan problemas con permisos de carga de archivos, carritos de fusión y API SOAP experimentados con la versión original. NO abordan nuevos problemas de seguridad. Puede descargar el parche y la versión de la página de descarga de Community Edition / MyAccount y obtener más información en https://magento.com/security/patches/supee-7405 .

Aplicar parches manualmente sin acceso SSH

Tienes un buen punto aquí. Los parches se suministran como .sharchivos y Magento no ofrece una solución para sitios web solo FTP.

Sugiero que uno copie el código de su sitio web a un entorno local a través de FTP (probablemente ya lo tenga). Luego aplique el parche ejecutando el .sharchivo.

Ahora debe averiguar qué archivos debe cargar nuevamente. Si abres el .sharchivo de parche, verás que consta de dos secciones:

1. Código de shell Bash para aplicar el parche. Este código es general para cada parche.
2. El parche real en forma de un formato de parche unificado . Esto indica solo las líneas en los archivos que se modificaron (incluidas algunas líneas de contexto). Esto comienza debajo de la línea__PATCHFILE_FOLLOWS__

En la segunda sección, puede leer qué archivos fueron / son afectados por el parche. Necesita cargar estos archivos nuevamente a su FTP o ... simplemente puede cargar todo.

Aplicar manualmente sin bash / shell

1. Si no puede ejecutar .sharchivos (en Windows), puede extraer la segunda sección del parche (el parche unificado ) y aplicarlo manualmente con una herramienta de parcheo (o por ejemplo a través de PHPStorm ).
2. El sitio web Magentary.com proporciona archivos ZIP para cada versión de Magento que contiene solo los archivos parcheados.

¿Parches en versiones actuales y futuras?

Los parches que se lanzan ahora se aplican a todas las versiones que ya se lanzaron. Por supuesto, podría Magento lanzar una nueva versión (mayor o menor). Luego contendrán todos los parches de seguridad ya que Magento también aplicará los parches a su base de código de desarrollo de forma natural (estos parches incluso se originan a partir de esa base de código;)).

ACTUALIZACIÓN : hasta el
último parche, Magento también ha lanzado nuevas versiones de Magento CE y EE que ya contienen el último parche específico. Vea la pestaña Release Archive en la página de descarga de Magento .

Consulte esta hoja, mantenida por JH, para saber qué parches instalar para qué versión de Magento CE y EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

Desafortunadamente, no hay una forma 'fácil' de instalar estos parches sin acceso a shell, pero hay dos formas de hacerlo.

Instalar parche a través de PHP

1. Use un cliente FTP para cargar el parche específico en la raíz de su carpeta Magento.
2. Cree un archivo PHP llamado applypatch.php que ejecutará el parche por usted y cárguelo en la raíz de su carpeta Magento. Asegúrese de usar el nombre de parche correcto aquí, si no usa el parche para la versión 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

3. Visite el archivo en http://your.domain.com/applypatch.php y verifique si el resultado se ve como se esperaba.

Instalar parche manualmente

El archivo .sh contiene un parche 'DIFF'. Estos muestran qué líneas se eliminaron y agregaron. Si bien no lo aconsejo, debería poder descargar manualmente los archivos a través de FTP, editar estos archivos en el editor de su elección y luego volver a cargarlos nuevamente a través de FTP. El formato no es demasiado difícil de interpretar , por lo que puede hacer esto para todos los archivos y no debería tomar más de unos minutos.

En mi caso, uso bitbucket para la versión Mantenimiento y realizo mis cambios solo a través de bitBucket.

Entonces, lo que hago cuando aplico los parches es aplicar ese parche en mi sistema local y probar todas las cosas. que mi sitio web está funcionando

y empuje todos los cambios a bitbucket y en el sitio en vivo extraiga todos los cambios y se aplica mi parche.

En caso de que lo que hagas si no tienes acceso ssh sea

1) Aplique el parche en local y envíe los cambios a bitbucket. Bitbucket le dice qué archivos se cambiaron desde la última confirmación.

2) cargue esos archivos manualmente a través de FTP y se aplicará su parche.

Aplicación de parches de Magento a través de FTP / sFTP o FileManager / File Upload.

Método 1 :-

Para aplicar parches de esta manera, simplemente reemplazamos los archivos modificados. Esta manera no se puede usar a ciegas si usted o sus desarrolladores han cambiado los archivos principales de Magento (que es un gran no-no, por cierto). Dichos cambios deben volver a aplicarse a los archivos parcheados, o perderá estos cambios.

visite amablemente las siguientes URL para descargar los siguientes parches: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Método 2: -

Descargue el archivo de parche en https://magento.com/tech-resources/download#download1972 Cargue archivos de parche en la raíz de magento.

Cree un archivo con el nombre de patch.php, escriba el siguiente código,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Ejecutas patch.php desde el navegador.

Si recibe un error como este,

"¡Error! Algunas herramientas del sistema requeridas, que se utilizan en este script sh, no están instaladas; se omite el" parche "de las herramientas, instálelas.

Eso significa que las herramientas del sistema no están instaladas en su servidor para ejecutar el script sh.

No creo que sea posible hacerlo sin acceso SSH, pero siempre puedes crear una cuenta SSH en el panel o en cualquier otro panel que tengas y hay una gran posibilidad de que encuentres los tutoriales para crear una cuenta SSH por tu Hosting La empresa simplemente busca en Google la "empresa de nombre de su hosting + creación de ssh".

Descargue los parches (en realidad, solo 1, ya que 1 es para EE y el otro para CE) Le sugiero que ejecute la recuperación rápida primero ...

cp -r public_html backup (reemplace public_html con la instalación completa de magento)

Primero, envíe el parche al directorio de respaldo y verifique que todo esté bien ejecutándolo en el respaldo .. sh patchname.sh

¿Todo bien? FTP el parche a su instalación y ejecución reales

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

la guía también aconseja "Para volver a aplicar la propiedad a los archivos modificados por el parche: Busque el usuario del servidor web: ps -o" comando de grupo de usuarios "-C httpd, apache2 El valor en la columna USUARIO es el nombre de usuario del servidor web. el usuario del servidor web Apache en CentOS es apache y el usuario del servidor web Apache en Ubuntu es www-data. Como usuario con privilegios de root, ingrese el siguiente comando desde el directorio de instalación de Magento: chown -R web-server-user-name. Por ejemplo, en Ubuntu donde Apache generalmente se ejecuta como www-data, ingrese chown -R www-data "

ejecutando el comando ps como root, solo obtuve root como usuario y ejecuté chown -R root y encendí mi instalación, lo ejecuté nuevamente con el nombre de usuario de la cuenta de usuario en la que está instalado y todo fue bueno