Questions tagged «patches»

现在是另一个补丁发布日了，Magento 1.x的SUPEE-7405已经发布，修复列表很长：https ://magento.com/security/patches/supee-7405 在获得最后一个补丁的经验之后，我不得不再次问：应用补丁时可能会出现什么问题，我需要考虑什么？ 许多XSS问题再次得到修复，因此我希望手动修补自定义主题。还要别的吗？是否存在向后不兼容的更改？

140 security  patches  magento-1  supee-7405 

Magento 1的新安全补丁已发布，解决了16个APPSEC问题：https ://magento.com/security/patches/supee-9767 CVSSv3严重性中的七个漏洞得分为8.0或更高，并且它们正在野外被利用，因此这是一个关键补丁。站点可以应用SUPEE-9767或更新到新版本的CE 1.9.3.3 / EE 1.14.3.3。 应用SUPEE-9767时需要注意哪些常见问题或陷阱？ 更新2017-07-12： Magento发布了SUPEE-9767 V2和CE 1.9.3.4，以解决最初补丁中的许多问题。如果应用了V1，则应先还原然后再应用V2。如果尚未修补，请仅应用V2，此处提出的大多数问题都将无关紧要。

108 magento-1  security  patches  supee-9767 

最新的Magento 1安全补丁SUPEE-8788包含17个APPSEC更新，因此尽快应用它非常重要。另一方面，存在许多潜在的向后兼容性中断，并且鉴于过去一年的补丁程序历史，我不会粗心地应用它。 好消息是这一次不涉及任何前端模板，因此看起来我们不需要修补所有主题。 这仅适用于Magento 1.8或更高版本。 尽管如此：应用补丁后，您是否遇到任何兼容性问题或错误？

108 magento-1  security  patches  supee-8788 

在我们的Magento 1.7.0.2存储上安装了SUPEE-6285补丁后，系统在尝试访问具有选择性权限（不是所有权限）的用户的所有自定义模块时，显示“ 访问被拒绝 ”错误。屏幕截图如下。 在“ 角色资源”中正确设置了用户权限，并且我们重新应用了权限设置以确保已设置。 该问题已在多个自定义扩展程序中重现，因此，不仅仅是单个扩展程序无法正常工作。 我已经注销/登录，清除了缓存并确认编译器已禁用。 谁能建议如何解决这个问题？

85 admin  security  patches  acl  supee-6285 

2015年10月27日，Magento发布了安全补丁SUPEE-6788。根据技术细节，已修复的4个APPSEC需要在本地和社区模块中进行一些返工： APPSEC-1034，绕过自定义管理URL进行寻址（默认情况下禁用） APPSEC-1063，解决了可能的SQL注入 APPSEC-1057，模板处理方法允许访问私人信息 APPSEC-1079，使用自定义选项文件类型解决潜在的利用 我想知道如何检查此安全补丁影响哪些模块。 我提出了以下部分解决方案： APPSEC-1034：<use>admin</use>在所有本地和社区模块的config.xml中搜索。我认为这应该列出受此问题影响的所有模块。 APPSEC-1063：在本地和社区模块的所有PHP文件中搜索addFieldToFilter('(并addFieldToFilter('`在其中。这是不完整的，因为也可以使用变量。 APPSEC-1057：在本地和社区模块的所有PHP文件中搜索{{config path=并{{block type=在其中，并从白名单中过滤掉所有元素。这是不完整的，因为它不包含管理员添加的任何模板变量。 APPSEC-1079：不知道。 还列出了由Peter Jaap Blaakmeer编译的APPSEC-1034和APPSEC-1063容易受到攻击的扩展列表

71 extensions  security  patches  routing  supee-6788 

Magento安全补丁看起来像是.sh文件，如果不通过SSH访问其Magento安装，有人将如何应用这些补丁？ 另外，这些补丁是否累积？IE：它们会被包含在Magento的未来版本中还是需要重新应用？ 我问这个问题是因为我登录到管理控制台并收到严重安全警告： 从Magento社区版下载页面（https://www.magentocommerce.com/products/downloads/magento/）下载并实现2个重要的安全补丁（SUPEE-5344和SUPEE-1533）。 如果尚未执行此操作，请下载并安装2个以前发布的补丁，以防止攻击者在Magento软件上远程执行代码。这些问题影响所有版本的Magento社区版。 未来几天，Check Point软件技术公司的新闻稿将使这些问题之一广为人知，这可能会警告可能试图利用它的黑客。在发布此问题之前，请确保已安装修补程序以作为预防措施。 截至2015年5月14日： 从Magento社区版下载页面（https://www.magentocommerce.com/products/downloads/magento/）下载并安装新的安全补丁（SUPEE-5994）对您来说很重要。请立即应用此重要更新，以帮助保护您的站点免受暴露于影响所有Magento Community Edition软件版本的多个安全漏洞的侵害。请注意，除了最近的Shoplift补丁（SUPEE-5344）之外，还应该安装此补丁。 我还收到以下电子邮件： 尊敬的Magento商人： 为了进一步保护Magento平台免受潜在攻击，我们今天发布了一个具有多个关键安全修复程序的新补丁（SUPEE-5994）。该补丁解决了一系列问题，其中包括攻击者可以访问客户信息的情况。这些漏洞是通过我们的多点安全计划收集的，我们没有收到任何商家或客户受到这些问题影响的报告。 Magento Community Edition软件的所有版本都会受到影响，我们强烈建议您与解决方案合作伙伴或开发人员合作，立即部署此关键补丁。请注意，除了最近的Shoplift补丁（SUPEE-5344）之外，还应该安装此补丁。Magento Community Edition用户指南的附录中提供了有关安全问题的更多信息。 您可以从Community Edition下载页面下载补丁。寻找SUPEE-5994补丁。该补丁可用于Community Edition 1.4.1–1.9.1.1。 在将修补程序部署到生产站点之前，请务必先在开发环境中实施和测试该修补程序，以确认它可以按预期工作。在线提供有关在Magento社区版上安装补丁的信息。 感谢您对这个问题的关注。 2015年7月7日更新 2015年7月7日：新的Magento安全补丁（SUPEE-6285）–立即安装 今天，我们提供了一个新的安全补丁（SUPEE-6285），用于解决关键的安全漏洞。该补丁适用于Community Edition 1.4.1到1.9.1.1，并且是我们最新版本Community Edition 1.9.2的核心代码的一部分，今天可以下载。请注意：必须首先实现SUPEE-5994以确保SUPEE-6285正常工作。从社区版下载页面下载社区版1.9.2或补丁：https : //www.magentocommerce.com/products/downloads/magento/ 2015年8月4日更新 2015年8月4日：新的Magento安全补丁（SUPEE-6482）–立即安装 今天，我们提供了一个新的安全补丁（SUPEE-6482），该补丁解决了4个安全问题。与API相关的两个问题和两个跨站点脚本编写风险。该修补程序可用于Community Edition 1.4和更高版本，并且是Community Edition 1.9.2.1核心代码的一部分，该代码可立即下载。在实施此新的安全修补程序之前，必须首先实施所有以前的安全修补程序。从https://www.magentocommerce.com/products/downloads/magento/下载的Community Edition下载页面下载Community Edition 1.9.2.1或补丁。 2015年10月27日更新 2015年10月27日：全新的Magento安全补丁（SUPEE-6788）–立即安装 今天，我们将发布一个新补丁（SUPEE-6788）和Community Edition 1.9.2.2/Enterprise Edition …

50 magento-1.9  patches  security  supee-7405  ssh 

APPSEC-1057（SUPEE-6788的一部分）规定 Magento现在包括允许的块或指令的白名单。如果一个模块或任何用途的变量，比如{{config path=”web/unsecure/base_url”}}和 {{block type=rss/order_new}}CMS中的网页或电子邮件，而指令是不在此列表中，您需要将它们与你的数据库安装脚本添加。 处理内容的扩展名或自定义代码（例如博客扩展名）可能会受到影响。如果您的代码使用一些配置变量或块，则需要创建一个数据更新脚本，以将变量或块添加到白名单表中： 您如何将自定义变量和块列入白名单？

45 admin  patches  supee-6788  template-directive  directive-whitelist 

Magento发布了针对M1的新安全补丁，以及针对M1和M2的更新。 升级或应用此补丁时应注意哪些问题？ SUPEE-10570 SUPEE-10570，Magento Commerce 1.14.3.8和Open Source 1.9.3.8包含多项安全增强功能，可帮助关闭远程代码执行（RCE），跨站点脚本（XSS）和其他问题。发行说明。 MAGENTO 2.2.3、2.1.12和2.0.18安全更新 Magento Commerce和开源2.2.3、2.1.12和2.0.18包含多项安全增强功能，可帮助关闭跨站点脚本（XSS），经过身份验证的Admin用户远程执行代码（RCE）和其他漏洞。这些发行版包括其他功能修复程序。要查找有关功能修复的更多信息，请查看Magento Commerce 2.0.18、2.1.12、2.2.3和Magento Open Source 2.0.18、2.1.12、22.3的发行说明。

45 magento2  magento-1  patches  security  supee-10570 

我刚刚应用了安全补丁 PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh 由于我无法通过SSH访问Web服务器，因此提供商为我完成了工作。我如何自己检查一切是否顺利？ 我使用的是Magento CE 1.9.1.0

44 magento-1  security  patches  log  version 

Magento 1的新补丁已发布，即SUPEE-10415。 此修补程序提供了针对多种类型的与安全相关的问题的保护 信息页面：https : //magento.com/security/patches/supee-10415 下载页面：https : //magento.com/tech-resources/download 需要注意哪些可能的问题？ 另外，请分享安装补丁后发现的所有错误和问题。 在香草1.9.1.1上应用SUPEE-10415的问题，由于Image.php出现错误消息而导致显示无法应用。 编辑：自2017年12月7日起，SUPEE-10497中提供了修复程序 必须安装8788版本2，否则将看到“不支持的数据类型”错误。更多信息。 升级到SUPEE-10415后，错误/目录中出现“ 404：未找到页面”错误。仅在运行某些第三方扩展的Magento安装中会发生此问题。 解决方法：确认任何扩展或自定义项均未生成PHP警告。

37 magento-1  patches  security  supee-10415 

我成功安装了SUPEE-5994补丁： [root@x]# sh PATCH_SUPEE-5994_EE_1.14.1.0_v1-2015-05-14-05-05-02.sh Checking if patch can be applied/reverted successfully... Patch was applied/reverted successfully. 但是现在，我所有的网页都是空白。 httpd错误日志： [错误] [客户端x] PHP致命错误：在第138行的/var/www/x/public_html/app/code/core/Mage/Core/Controller/Varien/Front.php中找不到类'Mage_Install_Controller_Router_Install' 我试图： 清除/ var / cache 重置chmod / chown 重新启动httpd服务 但是似乎没有任何作用。 有人有同样的问题吗？ 编辑：Front.php文件： Varien_Profiler::start('mage::app::init_front_controller::collect_routers'); foreach ($routersInfo as $routerCode => $routerInfo) { if (isset($routerInfo['disabled']) && $routerInfo['disabled']) { continue; } if (isset($routerInfo['class'])) { …

36 error  patches  router  supee-5994 

Magento 1的新安全补丁已发布，解决了13个APPSEC问题 https://magento.com/security/patches/supee-10266 应用此修补程序时，您需要注意哪些常见问题？ SUPEE-10266，Magento Commerce 1.14.3.6和开源1.9.3.6包含多项安全增强功能，可帮助关闭跨站点请求伪造（CSRF），未经授权的数据泄漏以及经过身份验证的Admin用户远程执行代码漏洞。这些版本还包括针对图像重新加载和使用单步付款的付款问题的修复程序。

36 magento-1  patches  security  supee-10266 

经过数周的等待，今天（2015年10月27日）发布了该补丁：SUPEE-6788 已修补了许多内容，并鼓励检查已安装的模块是否存在漏洞。 我打开这篇文章是为了获得有关如何应用补丁的一些见解。申请补丁的步骤是什么？据我了解，这是步骤： 使用不在管理URL下的管理功能修复模块 修复将SQL语句用作字段名称或转义字段的模块 白名单块或指令使用像{{config path=”web/unsecure/base_url”}}和这样的变量{{bloc type=rss/order_new}} 使用自定义选项文件类型解决潜在的利用漏洞（不知道如何执行此操作） 应用补丁 这是正确的程序吗？

29 admin  security  patches  supee-6788 

今天04.08.2015，有一个新的安全补丁发布，我和一些同事正在检查该补丁，很高兴就更改内容进行讨论，有人知道什么可能会影响和未打补丁的攻击吗？可能发生的最坏情况是什么？ 更新：我只想添加今天发送的magento电子邮件以完成帖子。

28 magento-1.9  security  patches 

Magento发布了针对M1的新安全补丁，以及针对M1和M2的更新。 应用此补丁/升级时，您需要注意哪些常见问题？ Magento 1 https://magento.com/security/patches/supee-11155 Magento 2 这应该是2.1系列中的最后一个版本，该版本将于本月底达到其终止销售状态。 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 https://github.com/magento/magento2/releases/tag/2.1.18 https://github.com/magento/magento2/releases/tag/2.2.9 https://github.com/magento/magento2/releases/tag/2.3.2

28 magento2  magento-1  security  patches