Questions tagged «security»

表示有关Magento的安全性问题。

15
安全修补程序SUPEE-7405-可能的问题?
现在是另一个补丁发布日了,Magento 1.x的SUPEE-7405已经发布,修复列表很长:https ://magento.com/security/patches/supee-7405 在获得最后一个补丁的经验之后,我不得不再次问:应用补丁时可能会出现什么问题,我需要考虑什么? 许多XSS问题再次得到修复,因此我希望手动修补自定义主题。还要别的吗?是否存在向后不兼容的更改?

23
安全补丁SUPEE-9767-可能的问题?
Magento 1的新安全补丁已发布,解决了16个APPSEC问题:https ://magento.com/security/patches/supee-9767 CVSSv3严重性中的七个漏洞得分为8.0或更高,并且它们正在野外被利用,因此这是一个关键补丁。站点可以应用SUPEE-9767或更新到新版本的CE 1.9.3.3 / EE 1.14.3.3。 应用SUPEE-9767时需要注意哪些常见问题或陷阱? 更新2017-07-12: Magento发布了SUPEE-9767 V2和CE 1.9.3.4,以解决最初补丁中的许多问题。如果应用了V1,则应先还原然后再应用V2。如果尚未修补,请仅应用V2,此处提出的大多数问题都将无关紧要。

30
安全补丁SUPEE-8788-可能的问题?
最新的Magento 1安全补丁SUPEE-8788包含17个APPSEC更新,因此尽快应用它非常重要。另一方面,存在许多潜在的向后兼容性中断,并且鉴于过去一年的补丁程序历史,我不会粗心地应用它。 好消息是这一次不涉及任何前端模板,因此看起来我们不需要修补所有主题。 这仅适用于Magento 1.8或更高版本。 尽管如此:应用补丁后,您是否遇到任何兼容性问题或错误?

3
安装SUPEE-6285后访问拒绝错误
在我们的Magento 1.7.0.2存储上安装了SUPEE-6285补丁后,系统在尝试访问具有选择性权限(不是所有权限)的用户的所有自定义模块时,显示“ 访问被拒绝 ”错误。屏幕截图如下。 在“ 角色资源”中正确设置了用户权限,并且我们重新应用了权限设置以确保已设置。 该问题已在多个自定义扩展程序中重现,因此,不仅仅是单个扩展程序无法正常工作。 我已经注销/登录,清除了缓存并确认编译器已禁用。 谁能建议如何解决这个问题?

5
如何检查哪些模块受安全补丁SUPEE-6788的影响
2015年10月27日,Magento发布了安全补丁SUPEE-6788。根据技术细节,已修复的4个APPSEC需要在本地和社区模块中进行一些返工: APPSEC-1034,绕过自定义管理URL进行寻址(默认情况下禁用) APPSEC-1063,解决了可能的SQL注入 APPSEC-1057,模板处理方法允许访问私人信息 APPSEC-1079,使用自定义选项文件类型解决潜在的利用 我想知道如何检查此安全补丁影响哪些模块。 我提出了以下部分解决方案: APPSEC-1034:<use>admin</use>在所有本地和社区模块的config.xml中搜索。我认为这应该列出受此问题影响的所有模块。 APPSEC-1063:在本地和社区模块的所有PHP文件中搜索addFieldToFilter('(并addFieldToFilter('`在其中。这是不完整的,因为也可以使用变量。 APPSEC-1057:在本地和社区模块的所有PHP文件中搜索{{config path=并{{block type=在其中,并从白名单中过滤掉所有元素。这是不完整的,因为它不包含管理员添加的任何模板变量。 APPSEC-1079:不知道。 还列出了由Peter Jaap Blaakmeer编译的APPSEC-1034和APPSEC-1063容易受到攻击的扩展列表

6
重要提示:下载并安装Magento安全补丁。(没有SSH访问权限的FTP)
Magento安全补丁看起来像是.sh文件,如果不通过SSH访问其Magento安装,有人将如何应用这些补丁? 另外,这些补丁是否累积?IE:它们会被包含在Magento的未来版本中还是需要重新应用? 我问这个问题是因为我登录到管理控制台并收到严重安全警告: 从Magento社区版下载页面(https://www.magentocommerce.com/products/downloads/magento/)下载并实现2个重要的安全补丁(SUPEE-5344和SUPEE-1533)。 如果尚未执行此操作,请下载并安装2个以前发布的补丁,以防止攻击者在Magento软件上远程执行代码。这些问题影响所有版本的Magento社区版。 未来几天,Check Point软件技术公司的新闻稿将使这些问题之一广为人知,这可能会警告可能试图利用它的黑客。在发布此问题之前,请确保已安装修补程序以作为预防措施。 截至2015年5月14日: 从Magento社区版下载页面(https://www.magentocommerce.com/products/downloads/magento/)下载并安装新的安全补丁(SUPEE-5994)对您来说很重要。请立即应用此重要更新,以帮助保护您的站点免受暴露于影响所有Magento Community Edition软件版本的多个安全漏洞的侵害。请注意,除了最近的Shoplift补丁(SUPEE-5344)之外,还应该安装此补丁。 我还收到以下电子邮件: 尊敬的Magento商人: 为了进一步保护Magento平台免受潜在攻击,我们今天发布了一个具有多个关键安全修复程序的新补丁(SUPEE-5994)。该补丁解决了一系列问题,其中包括攻击者可以访问客户信息的情况。这些漏洞是通过我们的多点安全计划收集的,我们没有收到任何商家或客户受到这些问题影响的报告。 Magento Community Edition软件的所有版本都会受到影响,我们强烈建议您与解决方案合作伙伴或开发人员合作,立即部署此关键补丁。请注意,除了最近的Shoplift补丁(SUPEE-5344)之外,还应该安装此补丁。Magento Community Edition用户指南的附录中提供了有关安全问题的更多信息。 您可以从Community Edition下载页面下载补丁。寻找SUPEE-5994补丁。该补丁可用于Community Edition 1.4.1–1.9.1.1。 在将修补程序部署到生产站点之前,请务必先在开发环境中实施和测试该修补程序,以确认它可以按预期工作。在线提供有关在Magento社区版上安装补丁的信息。 感谢您对这个问题的关注。 2015年7月7日更新 2015年7月7日:新的Magento安全补丁(SUPEE-6285)–立即安装 今天,我们提供了一个新的安全补丁(SUPEE-6285),用于解决关键的安全漏洞。该补丁适用于Community Edition 1.4.1到1.9.1.1,并且是我们最新版本Community Edition 1.9.2的核心代码的一部分,今天可以下载。请注意:必须首先实现SUPEE-5994以确保SUPEE-6285正常工作。从社区版下载页面下载社区版1.9.2或补丁:https : //www.magentocommerce.com/products/downloads/magento/ 2015年8月4日更新 2015年8月4日:新的Magento安全补丁(SUPEE-6482)–立即安装 今天,我们提供了一个新的安全补丁(SUPEE-6482),该补丁解决了4个安全问题。与API相关的两个问题和两个跨站点脚本编写风险。该修补程序可用于Community Edition 1.4和更高版本,并且是Community Edition 1.9.2.1核心代码的一部分,该代码可立即下载。在实施此新的安全修补程序之前,必须首先实施所有以前的安全修补程序。从https://www.magentocommerce.com/products/downloads/magento/下载的Community Edition下载页面下载Community Edition 1.9.2.1或补丁。 2015年10月27日更新 2015年10月27日:全新的Magento安全补丁(SUPEE-6788)–立即安装 今天,我们将发布一个新补丁(SUPEE-6788)和Community Edition 1.9.2.2/Enterprise Edition …

4
登录电子邮件中的密码。不好的做法?是否符合PCI?
我们使用Magento Enterprise(1.12),我有几个客户给我发送电子邮件,他们已经抱怨说他们在注册帐户时通过电子邮件收到了密码。我知道这被认为是不好的做法,但是Magento可以立即使用。 我将对其进行更改并将其从电子邮件模板中删除,这很容易,但是我很好奇为什么Magento会这样做(如果长期以来一直被认为是不好的做法)?我知道用户帐户中存储的敏感信息很少,我们也进行信用卡验证,但是“ Magento Enterprise就是这样,所以一定可以。” 我给的答案似乎很糟糕。 另外,在构建新的Magento网站时,例如删除电话验证,许多Magento开发人员是否将其作为经常执行的“待办事项列表”修复程序?

16
安全修补程序SUPEE-10570-可能的问题?
Magento发布了针对M1的新安全补丁,以及针对M1和M2的更新。 升级或应用此补丁时应注意哪些问题? SUPEE-10570 SUPEE-10570,Magento Commerce 1.14.3.8和Open Source 1.9.3.8包含多项安全增强功能,可帮助关闭远程代码执行(RCE),跨站点脚本(XSS)和其他问题。发行说明。 MAGENTO 2.2.3、2.1.12和2.0.18安全更新 Magento Commerce和开源2.2.3、2.1.12和2.0.18包含多项安全增强功能,可帮助关闭跨站点脚本(XSS),经过身份验证的Admin用户远程执行代码(RCE)和其他漏洞。这些发行版包括其他功能修复程序。要查找有关功能修复的更多信息,请查看Magento Commerce 2.0.18、2.1.12、2.2.3和Magento Open Source 2.0.18、2.1.12、22.3的发行说明。


9
安全修补程序SUPEE-10415-可能的问题?
Magento 1的新补丁已发布,即SUPEE-10415。 此修补程序提供了针对多种类型的与安全相关的问题的保护 信息页面:https : //magento.com/security/patches/supee-10415 下载页面:https : //magento.com/tech-resources/download 需要注意哪些可能的问题? 另外,请分享安装补丁后发现的所有错误和问题。 在香草1.9.1.1上应用SUPEE-10415的问题,由于Image.php出现错误消息而导致显示无法应用。 编辑:自2017年12月7日起,SUPEE-10497中提供了修复程序 必须安装8788版本2,否则将看到“不支持的数据类型”错误。更多信息。 升级到SUPEE-10415后,错误/目录中出现“ 404:未找到页面”错误。仅在运行某些第三方扩展的Magento安装中会发生此问题。 解决方法:确认任何扩展或自定义项均未生成PHP警告。

11
安全补丁SUPEE-10266-可能的问题?
Magento 1的新安全补丁已发布,解决了13个APPSEC问题 https://magento.com/security/patches/supee-10266 应用此修补程序时,您需要注意哪些常见问题? SUPEE-10266,Magento Commerce 1.14.3.6和开源1.9.3.6包含多项安全增强功能,可帮助关闭跨站点请求伪造(CSRF),未经授权的数据泄漏以及经过身份验证的Admin用户远程执行代码漏洞。这些版本还包括针对图像重新加载和使用单步付款的付款问题的修复程序。


4
新补丁supee-6788如何申请补丁
经过数周的等待,今天(2015年10月27日)发布了该补丁:SUPEE-6788 已修补了许多内容,并鼓励检查已安装的模块是否存在漏洞。 我打开这篇文章是为了获得有关如何应用补丁的一些见解。申请补丁的步骤是什么?据我了解,这是步骤: 使用不在管理URL下的管理功能修复模块 修复将SQL语句用作字段名称或转义字段的模块 白名单块或指令使用像{{config path=”web/unsecure/base_url”}}和这样的变量{{bloc type=rss/order_new}} 使用自定义选项文件类型解决潜在的利用漏洞(不知道如何执行此操作) 应用补丁 这是正确的程序吗?

4
推荐的方法来保护/下载器?
由于Magento使用/ downloader作为通过Magento Connect Manager方便地安装程序的方式,因此显然这也是一个安全问题,因为它允许机器人或人们尝试学习安装凭据。 在查看对我网站的访问日志时,我对尝试访问www.mysite.com/downloader的次数感到震惊 作为一个工作,我身边已经得到了进入重命名下载目录的习惯downloader.offline,但偶尔我忘记了。(或者将其重命名以安装程序,或者在完成之后)。 建议使用什么方法来保护此链接?


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.