Es hora de otro día de parche, SUPEE-7405 para Magento 1.x está fuera y la lista de soluciones es larga: https://magento.com/security/patches/supee-7405
Después de la experiencia con los últimos parches, tengo que volver a preguntar: ¿cuáles son los posibles problemas al aplicar el parche y qué debo tener en cuenta?
Muchos problemas de XSS se solucionaron nuevamente, por lo que espero parchear temas personalizados manualmente. ¿Algo más? ¿Hay cambios incompatibles hacia atrás?
security
patches
magento-1
supee-7405
Fabian Schmengler
fuente
fuente
Respuestas:
Actualización del 23 de febrero de 2016 : el parche se ha actualizado a V1.1, que soluciona una serie de problemas importantes enumerados en esta publicación, aquí está la lista:
Después de profundizar en el parche, aquí están las cosas relevantes / interesantes que he encontrado (Nota: esta lista se ha hecho analizando el parche para CE 1.9.2.0-1.9.2.2, probablemente haya más para parches que afectan a versiones anteriores de Magento) :
El uso de en[]
lugar dearray()
en este parche lo hace incompatible con PHP <5.4 (vea los problemas conocidos a continuación)Mage_Admin_Model_Observer
Mage_Adminhtml_IndexController
Mage_Adminhtml_IndexController
getDeleteUrl
deMage_Checkout_Block_Cart_Item_Renderer
y se valida en eldeleteAction
deMage_Checkout_CartController
.controller_action_postdispatch_checkout_onepage_saveOrder
conviertencontroller_action_postdispatch_checkout_onepage_saveorder
). Esto no afecta la configuración de sus observadores locales . Más información aquí: https://twitter.com/foomanNZ/status/689924329065164800Mage_Core_Model_File_Validator_Image
System => Configuration =>Advanced > System => Escape CSV Fields
admin_user_validate
bajoMage_Admin_Model_User
Mage_Authorizenet_Helper_Admin
) que se utiliza para obtener la url de la orden de éxito.Zend_Xml_Security
. Su propósito es escanear cadenas XML para posibles ataques XXE y XEE. Sin embargo, no encontré ninguna referencia a él en los otros archivos modificados.Problemas conocidos después de parchear:
Intentaré mantener esta lista lo más actualizada posible.
Antes de comenzar un nuevo problema / pregunta, asegúrese de haber aplicado todos los parches anteriores, ya que parece que muchos problemas provienen de parches faltantes.
Otra cosa es: si ha modificado los archivos principales, la aplicación del parche puede fallar. Si tiene un
Hunk # failed at
error para un archivo específico y está 100% seguro de haber aplicado todos los parches anteriores, asegúrese de tener el archivo original de su versión de Magento marcando el espejo: https://github.com / OpenMage / magento-mirror /La página de vista de orden de administrador está en blanco / rota => Relacionada con la incompatibilidad PHP <5.4. => La solución se puede encontrar aquí: https://magento.stackexchange.com/a/98237/2380 / He creado un informe de error: https://www.magentocommerce.com/bug-tracking/issue/index/ id / 1266 (créditos: @ Moonman67).SOAP API URL/index.php/api/v2_soap/index/?wsdl=1
arroja un error 500 => He desarrollado una solución hacky para este que se puede encontrar aquí: https://magento.stackexchange.com/a/98790/2380 / También he creado un informe de error para este: https://www.magentocommerce.com/bug-tracking/issue/index/id/1265 (créditos: @ Moonman67)Problemas relacionados con los permisos de carga de archivosapp/code/core/Mage/Core/Model/Config.php
(posiblemente solo EE): SUPEE 7405 Enterprise Edition Error fatal Constante de clase no definida 'AREA_ADMINHTMLMage_Core_Helper_Abstract::escapeHtml()
en 1.4.0.1 : error después de instalar el parche 7405 en Magento 1.4.0.1_singleton/Mage_Core_Model_Domainpolicy
ya existe en Magento 1.7: Error de parche de seguridad SUPEE-7405Problemas al aplicar el parche en 1.7.0.2 : Problemas del parche de seguridad SUPEE-7405Problemas al aplicar el parche en 1.8.1 : supee 7405 Hunk # 2 FALLÓ en 472. Magento 1.8.1Cola de correo electrónico rota después del parche : Magento 1.9.2.3 La cola de correo electrónico no funcionaLista de archivos afectados
Se puede encontrar en esta página aquí: https://magento.stackexchange.com/a/98232/2380 (créditos @MagenX)
EE solamente
Con respecto al parche 7616:
Posible problema al aplicar 7616 antes de aplicar 7405 : SUPEE 7405 - Hunk # 2 Falló en 43Buenos recursos sobre parches de Magento
No dudes en avisarme si extraño algo.
fuente
Un problema que noté es que si su sitio usa una versión inferior a PHP 5.4, el parche no es compatible.
En la clase
Mage_Adminhtml_Helper_Sales
alrededor de la línea número 124. El código es:Necesitaba extender esto para ser:
Otro error que encontré parecía involucrar las cookies que había configurado. Sin embargo, una vez que borré mis cookies, todas las páginas se cargaron bien.
Error de ejemplo:
No estoy seguro de si alguien más se ha encontrado con estos problemas, ¡pero espero que ayude!
fuente
Aquí hay un problema que he encontrado al parchear Magento CE con SUPEE-7405. Reemplaza la línea:
con:
en el archivo
lib/Varien/File/Uploader.php
Esto detuvo mis imágenes que se muestran en el back-end, ya que este permiso de archivo debería ser 644. ¿Hay alguna razón para que esto se haya configurado en 640?
fuente
chown USERNAME:nobody -R public_html
find ./public_html -type d -exec chmod g+s {} \;
Al solicitar Magento 1.7.0.0 está tratando de eliminar un comentario en
app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
-/* @var $_helper Mage_Authorizenet_Helper_Data */
1.7.0.0 - https://raw.githubusercontent.com/OpenMage/magento-mirror/1.7.0.0/app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
que no se agregó hasta 1.7.0.1 https://raw.githubusercontent.com/OpenMage/magento-mirror/1.7.0.1/app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
fuente
con estos archivos parcheados, puede ver cualquier posible impacto:
plantilla: plantillas de administrador mayormente parcheadas.
core / libs:
================================================== ======================= ps solo para mantener todo junto, hemos creado un multiparche "sin complicaciones" para parchear muchos servidores con múltiples instalaciones de magento. multipatch-7405.sh
fuente
Aquí está mi plan de prueba básico:
fuente
Tenga en cuenta el problema de sesiones descartadas recientemente descubierto y solucionado (?) Por Colin Mollenhour .
https://gist.github.com/colinmollenhour/5066a3220881a9c0c2dd42fa1593cbff/revisions
fuente
Si actualizó desde Magento EE 1.14.2.x a Magento EE 1.14.2.3 en lugar de aplicar el parche, y también aplicó el parche de soporte SUPEE-5984 antes, debe volver a aplicarlo nuevamente porque no está incluido en el lanzamiento .
Este fue el parche que corrigió el indexador roto: error de índice después de la actualización a EE 1.14.2.0: la tabla catalog_product_entity_tmp_indexer no existe
fuente
A partir del 23 de febrero de 2016, Magento ha lanzado un parche para solucionar muchos de estos problemas: https://magento.com/security/patches/supee-7405
Debe aplicar SUPEE_7405_v1 y luego SUPEE_7405_v1.1 en orden.
fuente
Captura de pantalla para la página de detalles de la orden de administrador, si muestra este tipo de problema, ¡siga las instrucciones a continuación, funciona para mí!
Solución
fuente
Cada vez que instalamos un parche para uno de nuestros clientes, utilizamos la siguiente lista de verificación:
app/etc/applied.patches.list
archivo)Supongo que eso es todo lo que hay que hacer. Los parches están diseñados para instalarse rápidamente y sin problemas. 9 de cada 10 veces se instalarán perfectamente bien y para las otras veces tenemos copias de seguridad. Mientras no estés jugando con los archivos principales, todo debería estar bien.
fuente
app/etc/applied.patches.list
aquí archivos afectados por Magento EE
fuente
Después de aplicar el SUPEE-7405 en Magento 1.14.1.0, recibí el error:
El problema fue causado por el método re-declarado _validateControllerInstance en
Después de eliminar la segunda (misma) declaración de función, el problema se ha resuelto.
fuente
Recibí el siguiente error después de instalar el parche SUPEE-7405 cuando intento iniciar sesión en admin.
porque tuve este archivo anulado en el grupo de código local que no tiene un
sendHeadersAndExit
método creado por este parche.\app\code\local\Mage\Core\Controller\Response\Http.php
El siguiente método no existe. (Este es un nuevo método agregado al archivo central)Después de agregar esto al problema del archivo anulado desapareció.
fuente
Uno de los problemas que tuve al usar SUPEE-7405 es errores de carga de imágenes
Por lo tanto, verifico los cambios en este archivo: lib / Varien / File / Uploader.php
Entonces, descubrí dos formas de superarlo:
Opción 1:
Realizo un cambio manual en el archivo lib / Varien / File / Uploader.php para ajustar los permisos 0640/0750.
Opción 2: porque Magento espera que el servidor web sea el propietario de los archivos del sitio:
http://devdocs.magento.com/guides/m1x/install/installer-privileges_after.html#privs-after
La otra forma de resolver el problema es hacer que el servidor web sea el propietario de los archivos
chown -R web-server-user-name magento / root / path
El nombre de usuario del servidor web es comúnmente www-data o apache.
fuente