Questions tagged «supee-6788»

2015年10月27日，Magento发布了安全补丁SUPEE-6788。根据技术细节，已修复的4个APPSEC需要在本地和社区模块中进行一些返工： APPSEC-1034，绕过自定义管理URL进行寻址（默认情况下禁用） APPSEC-1063，解决了可能的SQL注入 APPSEC-1057，模板处理方法允许访问私人信息 APPSEC-1079，使用自定义选项文件类型解决潜在的利用 我想知道如何检查此安全补丁影响哪些模块。 我提出了以下部分解决方案： APPSEC-1034：<use>admin</use>在所有本地和社区模块的config.xml中搜索。我认为这应该列出受此问题影响的所有模块。 APPSEC-1063：在本地和社区模块的所有PHP文件中搜索addFieldToFilter('(并addFieldToFilter('`在其中。这是不完整的，因为也可以使用变量。 APPSEC-1057：在本地和社区模块的所有PHP文件中搜索{{config path=并{{block type=在其中，并从白名单中过滤掉所有元素。这是不完整的，因为它不包含管理员添加的任何模板变量。 APPSEC-1079：不知道。 还列出了由Peter Jaap Blaakmeer编译的APPSEC-1034和APPSEC-1063容易受到攻击的扩展列表

71 extensions  security  patches  routing  supee-6788 

APPSEC-1057（SUPEE-6788的一部分）规定 Magento现在包括允许的块或指令的白名单。如果一个模块或任何用途的变量，比如{{config path=”web/unsecure/base_url”}}和 {{block type=rss/order_new}}CMS中的网页或电子邮件，而指令是不在此列表中，您需要将它们与你的数据库安装脚本添加。 处理内容的扩展名或自定义代码（例如博客扩展名）可能会受到影响。如果您的代码使用一些配置变量或块，则需要创建一个数据更新脚本，以将变量或块添加到白名单表中： 您如何将自定义变量和块列入白名单？

45 admin  patches  supee-6788  template-directive  directive-whitelist 

我不确定如何更新自定义模块以与SUPEE-6788补丁一起使用，说明不是很清楚。 基于Alan Storm的教程，我在生成器www.silksoftware.com/magento-module-creator/中创建了一个简单模块进行测试。它在admin中具有自定义页面，可以很好地工作，但是当我应用SUPEE-6788中要求的修复程序时，管理页面将显示404错误。 自定义管理页面的URL为： 本地主机/index.php/admin/ admin_adminhello / adminhtml_adminhello后端 / index / key / 83f08ec4bddff37e47412e16acc8d3f6 / 这是模块的配置： <config> <modules> <Pulsestorm_Adminhello> <version>0.1.0</version> </Pulsestorm_Adminhello> </modules> <global> <helpers> <adminhello> <class>Pulsestorm_Adminhello_Helper</class> </adminhello> </helpers> <blocks> <adminhello> <class>Pulsestorm_Adminhello_Block</class> </adminhello> </blocks> </global> <admin> <routers> <adminhello> <use>admin</use> <args> <module>Pulsestorm_Adminhello</module> <frontName>admin_adminhello</frontName> </args> </adminhello> </routers> </admin> ... 这是控制器： /app/code/local/Pulsestorm/Adminhello/controllers/Adminhtml/AdminhellobackendController.php class Pulsestorm_Adminhello_Adminhtml_AdminhellobackendController …

34 adminhtml  routing  supee-6788  custom-admin-url  ce-1.9.2.2 

经过数周的等待，今天（2015年10月27日）发布了该补丁：SUPEE-6788 已修补了许多内容，并鼓励检查已安装的模块是否存在漏洞。 我打开这篇文章是为了获得有关如何应用补丁的一些见解。申请补丁的步骤是什么？据我了解，这是步骤： 使用不在管理URL下的管理功能修复模块 修复将SQL语句用作字段名称或转义字段的模块 白名单块或指令使用像{{config path=”web/unsecure/base_url”}}和这样的变量{{bloc type=rss/order_new}} 使用自定义选项文件类型解决潜在的利用漏洞（不知道如何执行此操作） 应用补丁 这是正确的程序吗？

29 admin  security  patches  supee-6788 

注意： 此问题似乎适用于已收到SUPEE-6788补丁的所有Magento版本。您会在我的答案中看到这两者， .htaccess并且都.htaccess.sample需要还原才能使补丁成功。 我正在使用提供的shell脚本应用SUPEE-6788补丁到CE 1.7.0.2网站magentocommerce.com/downloads。该站点已应用了所有以前的安全补丁。 脚本的名称是PATCH_SUPEE-6788_CE_1.7.0.2_v1-2015-10-27-12-00-16.sh且具有md5sum cfc0cf533fe36a5f573414f0feeb1590（此修补程序是不寻常的，因为它未经压缩就被释放了-尽管该文件未显示损坏或被截断）。 运行此脚本时，控制台输出似乎表明所包含的补丁程序中至少有一个失败或被跳过，但是补丁程序的许多部分均已成功执行，但是git未显示任何更改。该脚本已在具有相同代码库的两个不同环境中进行了测试-一个是Ubuntu GNOME 14.04 LTS工作站，另一个是nexcess.com共享服务器（运行CentOS）。 有趣的是，两种环境的输出略有不同。注意以“ checking”和“ patching”开头的行。 Ubuntu环境的输出示例： bash PATCH_SUPEE-6788_CE_1.7.0.2_v1-2015-10-27-12-00-16.sh [19:27:10] Checking if patch can be applied/reverted successfully... ERROR: Patch can't be applied/reverted successfully. checking file .htaccess Hunk #1 FAILED at 207. 1 out of 1 hunk FAILED can't find file to patch …

21 magento-1.7  ce-1.7.0.2  security  patches  supee-6788