Os patches de segurança do Magento parecem .sh
arquivos, como alguém os aplicaria sem acesso SSH às instalações do Magento?
Além disso, esses patches são cumulativos? IE: Eles serão incluídos na versão futura do Magento ou precisam ser reaplicados?
Estou fazendo esta pergunta porque entrei no meu painel de administração e recebi um aviso crítico de segurança:
Faça o download e implemente 2 patches de segurança importantes ( SUPEE-5344 e SUPEE-1533 ) na página de download do Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).
Se você ainda não o fez, baixe e instale 2 patches lançados anteriormente que impedem que um invasor execute remotamente o código no software Magento. Esses problemas afetam todas as versões do Magento Community Edition.
Um comunicado de imprensa da Check Point Software Technologies nos próximos dias tornará amplamente conhecido um desses problemas, possivelmente alertando hackers que podem tentar explorá-lo. Verifique se os patches estão no local como uma medida preventiva antes que o problema seja publicado.
e isso em 14 de maio de 2015 :
É importante que você baixe e instale um novo patch de segurança ( SUPEE-5994 ) na página de download do Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Aplique esta atualização crítica imediatamente para ajudar a proteger seu site da exposição a várias vulnerabilidades de segurança que afetam todas as versões do software Magento Community Edition. Observe que esse patch deve ser instalado além do patch Shoplift recente (SUPEE-5344).
Também recebi o seguinte email:
Caro comerciante Magento,
Para proteger ainda mais a plataforma Magento contra possíveis ataques, estamos lançando um novo patch (SUPEE-5994) com várias correções críticas de segurança hoje. O patch soluciona uma série de problemas, incluindo cenários em que os invasores podem obter acesso às informações do cliente. Essas vulnerabilidades foram coletadas por meio de nosso programa de segurança multiponto e não recebemos relatos de comerciantes ou clientes sendo afetados por esses problemas.
Todas as versões do software Magento Community Edition são impactadas e é altamente recomendável que você trabalhe com seu Parceiro de solução ou desenvolvedor para implantar imediatamente esse patch crítico. Observe que esse patch deve ser instalado além do patch Shoplift recente (SUPEE-5344). Mais informações sobre os problemas de segurança estão disponíveis no Apêndice do guia do usuário do Magento Community Edition.
Você pode baixar o patch na página de download do Community Edition. Procure o patch SUPEE-5994. O patch está disponível para o Community Edition 1.4.1 a 1.9.1.1.
Certifique-se de implementar e testar o patch em um ambiente de desenvolvimento primeiro para confirmar se ele funciona conforme o esperado antes de implantá-lo em um site de produção. Informações sobre a instalação de patches no Magento Community Edition estão disponíveis online.
Agradecemos sua atenção a este problema.
ATUALIZAÇÃO 7 DE JULHO DE 2015
7 de julho de 2015: Novo patch de segurança Magento ( SUPEE-6285 ) - Instale imediatamente
Hoje estamos fornecendo um novo patch de segurança ( SUPEE-6285 ) que aborda vulnerabilidades críticas de segurança. O patch está disponível para o Community Edition 1.4.1 a 1.9.1.1 e faz parte do código principal de nossa versão mais recente, o Community Edition 1.9.2, disponível para download hoje. ATENÇÃO: você deve primeiro implementar o SUPEE-5994 para garantir que o SUPEE-6285 funcione corretamente. Faça o download do Community Edition 1.9.2 ou do patch na página de download do Community Edition: https://www.magentocommerce.com/products/downloads/magento/
ATUALIZAÇÃO 4 DE AGOSTO DE 2015
4 de agosto de 2015: Novo patch de segurança Magento ( SUPEE-6482 ) - Instale imediatamente
Hoje estamos fornecendo um novo patch de segurança ( SUPEE-6482 ) que aborda quatro questões de segurança; dois problemas relacionados às APIs e dois riscos de script entre sites. O patch está disponível para o Community Edition 1.4 e versões posteriores e faz parte do código principal do Community Edition 1.9.2.1, que está disponível para download hoje. Antes de implementar esse novo patch de segurança, você deve primeiro implementar todos os patches de segurança anteriores. Faça o download do Community Edition 1.9.2.1 ou do patch na página de download do Community Edition em https://www.magentocommerce.com/products/downloads/magento/
ATUALIZAÇÃO 27 DE OUTUBRO DE 2015
27 de outubro de 2015: Novo patch de segurança Magento ( SUPEE-6788 ) - Instalação imediata
Hoje, estamos lançando um novo patch ( SUPEE-6788 ) e o Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 para solucionar mais de 10 problemas de segurança, incluindo execução remota de código e vulnerabilidades de vazamento de informações. Este patch não está relacionado ao problema de malware do Guruincsite . Teste o patch em um ambiente de desenvolvimento primeiro, pois ele pode afetar extensões e personalizações. Faça o download do patch na página de download do Community Edition / no Portal de suporte do Enterprise Edition e saiba mais em http://magento.com/security/patches/supee-6788 .
ATUALIZAÇÃO 20 DE JANEIRO DE 2016
Importante: Novo patch de segurança ( SUPEE-7405 ) e versão - 20/01/2016
Hoje, estamos lançando um novo patch ( SUPEE-7405 ) e o Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 para melhorar a segurança dos sites Magento . Não há ataques confirmados relacionados aos problemas de segurança, mas certas vulnerabilidades podem ser potencialmente exploradas para acessar informações do cliente ou assumir sessões de administrador. Você pode baixar o patch e liberar-se da página de download do Community Edition / MyAccount e saber mais em https://magento.com/security/patches/supee-7405 .
ATUALIZAÇÃO 23 DE FEVEREIRO DE 2016
Versões atualizadas do patch SUPEE7405 já estão disponíveis. As atualizações adicionam suporte ao PHP 5.3 e resolvem problemas com permissões de upload de arquivos, carrinhos de mesclagem e APIs SOAP com a versão original. Eles NÃO tratam de novos problemas de segurança. Você pode baixar o patch e liberar-se da página de download do Community Edition / MyAccount e saber mais em https://magento.com/security/patches/supee-7405 .
__PATCHFILE_FOLLOWS__
. Isso significa que você pode copiar esse conteúdo do arquivo e adicioná-lo em um novo arquivo com .patch
extensão. Em seguida, basta usar git apply
para aplicá-lo.
curl
ouwget
- É meio bobo que você precise fazer login na página de download, baixar o arquivo, enviar o arquivo FTP para o site e aplicá-lo.