重要なお知らせ:Magentoセキュリティパッチをダウンロードしてインストールします。(SSHアクセスのないFTP)


50

Magentoのセキュリティパッチは.shファイルのように見えますが、MagentoのインストールへのSSHアクセスなしにこれらのパッチをどのように適用しますか?

また、これらのパッチは累積的ですか?IE:Magentoの将来のバージョンに含まれますか、それとも再適用する必要がありますか?

管理パネルにログインし、重大なセキュリティ警告を受け取ったため、この質問をしています:

Magento Community Editionダウンロードページ(https://www.magentocommerce.com/products/downloads/magento/)から2つの重要なセキュリティパッチ(SUPEE-5344およびSUPEE-1533)をダウンロードして実装します

まだ行っていない場合は、以前にリリースされた2つのパッチをダウンロードしてインストールし、攻撃者がMagentoソフトウェアでリモートでコードを実行するのを防ぎます。これらの問題は、Magento Community Editionのすべてのバージョンに影響します。

近日中にCheck Point Software Technologiesからのプレスリリースにより、これらの問題の1つが広く知られるようになり、悪用しようとするハッカーに警告する可能性があります。問題が公表される前に、予防策としてパッチが適用されていることを確認してください。

そして、これは2015年5月14日現在

Magento Community Editionのダウンロードページ(https://www.magentocommerce.com/products/downloads/magento/)から新しいセキュリティパッチ(SUPEE-5994)をダウンロードしてインストールすることが重要です。Magento Community Editionソフトウェアのすべてのバージョンに影響を与える複数のセキュリティ脆弱性からサイトを保護するために、この重要な更新をすぐに適用してください。このパッチは、最近の万引きパッチ(SUPEE-5344)に加えてインストールする必要があることに注意してください。

また、次のメールを受け取りました。

親愛なるMagento商人、

Magentoプラットフォームを潜在的な攻撃からさらに保護するために、複数の重要なセキュリティ修正を含む新しいパッチ(SUPEE-5994)を今日リリースしています。この更新プログラムは、攻撃者が顧客情報にアクセスできるシナリオなど、さまざまな問題に対処します。これらの脆弱性は、マルチポイントセキュリティプログラムを通じて収集されたものであり、これらの問題の影響を受けている販売者や顧客の報告は受けていません。

Magento Community Editionソフトウェアのすべてのバージョンが影響を受けるため、ソリューションパートナーまたは開発者と協力して、この重要なパッチをすぐに展開することを強くお勧めします。このパッチは、最近の万引きパッチ(SUPEE-5344)に加えてインストールする必要があることに注意してください。セキュリティ問題の詳細については、Magento Community Editionユーザーガイドの付録を参照してください。

Community Editionダウンロードページからパッチをダウンロードできます。SUPEE-5994パッチを探します。パッチはCommunity Edition 1.4.1〜1.9.1.1で利用可能です。

本番サイトに展開する前に、まず開発環境でパッチを実装およびテストして、期待どおりに機能することを確認してください。Magento Community Editionへのパッチのインストールに関する情報はオンラインで入手できます。

この問題にご関心をお寄せいただきありがとうございます。

2015年7月7日更新

2015年7月7日:新しいMagentoセキュリティパッチ(SUPEE-6285)–すぐにインストール
今日、重要なセキュリティ脆弱性に対処する新しいセキュリティパッチ(SUPEE-6285)を提供しています。このパッチは、Community Edition 1.4.1から1.9.1.1で利用可能であり、最新リリースであるCommunity Edition 1.9.2のコアコードの一部であり、今日ダウンロードできます。注意:SUPEE-6285が正しく機能するように、まずSUPEE-5994を実装する必要があります。Community Edition 1.9.2またはCommunity Editionダウンロードページからパッチをダウンロードします:https : //www.magentocommerce.com/products/downloads/magento/

2015年8月4日更新

2015年8月4日:新しいMagentoセキュリティパッチ(SUPEE-6482)–すぐにインストール
本日、4つのセキュリティ問題に対処する新しいセキュリティパッチ(SUPEE-6482)を提供しています。APIに関連する2つの問題と2つのクロスサイトスクリプティングリスク。このパッチは、Community Edition 1.4以降のリリースで利用可能であり、Community Edition 1.9.2.1のコアコードの一部であり、本日からダウンロードできます。この新しいセキュリティパッチを実装する前に、以前のセキュリティパッチをすべて実装する必要があります。Community Edition 1.9.2.1またはhttps://www.magentocommerce.com/products/downloads/magento/の Community Editionダウンロードページからパッチをダウンロードします。

2015年10月27日更新

2015年10月27日:新しいMagentoセキュリティパッチ(SUPEE-6788)–すぐにインストール
今日、新しいパッチ(SUPEE-6788)とCommunity Edition 1.9.2.2/Enterprise Edition 1.14.2.2をリリースして、10以上のセキュリティ問題に対処します。リモートコード実行および情報漏洩の脆弱性。このパッチは、Guruincsiteマルウェアの問題とは無関係です。拡張機能やカスタマイズに影響する可能性があるため、最初に開発環境でパッチをテストしてください。Community Editionダウンロードページ/ Enterprise Editionサポートポータルからパッチをダウンロードし、http://magento.com/security/patches/supee-6788で詳細をご覧ください

2016年1月20日更新

重要:新しいセキュリティパッチ(SUPEE-7405)およびリリース– 2016年1月20
日本日、Magentoサイトのセキュリティを改善するために、新しいパッチ(SUPEE-7405)およびCommunity Edition 1.9.2.3 / Enterprise Edition 1.14.2.3リリースします。セキュリティの問題に関連する確認された攻撃はありませんが、特定の脆弱性が潜在的に悪用されて顧客情報にアクセスしたり、管理者セッションを乗っ取ったりする可能性があります。Community Editionダウンロードページ/ MyAccountからパッチとリリースをダウンロードできます。詳細については、https: //magento.com/security/patches/supee-7405をご覧ください

2016年2月23日更新

SUPEE7405パッチの更新バージョンが利用可能になりました。この更新により、PHP 5.3のサポートが追加され、アップロードファイルのアクセス許可、カートのマージ、および元のリリースで経験したSOAP APIの問題に対処します。新しいセキュリティの問題には対応していません。Community Editionダウンロードページ/ MyAccountからパッチとリリースをダウンロードできます。詳細については、https: //magento.com/security/patches/supee-7405をご覧ください


4
彼らはパッチを適用するシェルスクリプトを使用しますが、ために使用することに何のURLを提供しないようにしても面白いcurlwget-あなたはダウンロードページにログインしていることを愚かなの種類、ファイルをダウンロードし、FTPサイトへのファイルは、それを適用します。
-pspahn

5
byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344も参照して 、すべてがここで修正されているかどうかを確認してください:shoplift.byte.nl
Jeroen

6
パッチはすべて、行の下に標準のgitパッチを含むだけであることに注意してください__PATCHFILE_FOLLOWS__。つまり、このコンテンツをファイルからコピーして、.patch拡張子を付けて新しいファイルに追加できます。次に、それを使用git applyして適用します。
ジョナサンフセ

こんにちは、Magentoに複数のパッチファイルがインストールされる可能性があります。
VijayS91

回答:


35

SSHアクセスなしで手動でパッチを適用する

ここには良い点があります。パッチは.shファイルとして提供され、MagentoがFTPのみのWebサイトに提供するソリューションはありません。

FTPを介して彼のWebサイトのコードをローカル環境にコピーすることをお勧めします(おそらく既にお持ちでしょう)。次に、.shファイルを実行してパッチを適用します。

ここで、再度アップロードする必要があるファイルを見つける必要があります。.shパッチファイルを開くと、2つのセクションで構成されていることがわかります。

  1. パッチを適用するBashシェルコード。このコードは、すべてのパッチに共通です。
  2. 統一されたパッチ形式の形式の実際のパッチ。これは、変更されたファイルの行のみを示します(一部のコンテキスト行を含む)。これは線の下から始まります__PATCHFILE_FOLLOWS__

2番目のセクションから、どのファイルがパッチの影響を受けた/影響を受けたかを読み取ることができます。これらのファイルをもう一度FTPにアップロードするか、すべてをアップロードする必要があります。

bash / shellを使用せずに手動で適用する

  1. .sh(Windowsで)ファイルを実行できない場合は、パッチの2番目のセクション(統合パッチ)を抽出し、パッチツール(またはPHPStormなど)を使用して手動適用できます。
  2. WebサイトMagentary.comは、パッチが適用されたファイルのみを含む各MagentoバージョンのZIPファイルを提供します。

現在および将来のリリースのパッチ?

現在リリースされているパッチは、すでにリリースされているすべてのバージョンに適用されます。もちろん、Magentoは新しいバージョン(メジャーまたはマイナー)をリリースするかもしれません。その後、Magentoは開発コードベースにも自然にパッチを適用するため、すべてのセキュリティパッチが含まれます(これらのパッチは、そのコードベースに由来します;))。

更新
すべての最後のパッチMagentoは、特定の最新パッチを既に含むMagento CEおよびEEの新しいバージョンもリリースしました。Magentoダウンロードページの [ リリースアーカイブ ]タブを参照してください

JHが管理するこのシートを確認します。どのパッチをどのMagento CEおよびEEバージョンにインストールするのか:https : //docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M


こんにちは、Magentoに複数のパッチファイルがインストールされる可能性があります。
VijayS91

ありがとう@ 7ochem、それは私のために私の側から+1を働いた......
MagentoでMagento

2
または、composerパッケージgithub.com/firegento/magentoで
Aleksey Razbakov

6
作曲家は本番サーバー上にいてはいけません。最初にcomposerを実行し、更新されたファイルを取得してから、変更されたファイルをアップロードします。レベル2はジェンキンスでそれをすることです。
アレクセイラズバコフ

2
確かに...ビルドとデプロイ...しかし、それでも、FTPを使用しているときは、おそらくそのことに興味はないでしょう。この回答でもそれを十分に説明するために広範になります。これを設定する方法と、変更/追加/削除されたファイルのみをアップロードする方法(バージョンやものの違い)。
7ochem 16

24

残念ながら、シェルアクセスなしでこれらのパッチをインストールする「簡単な」方法はありませんが、それを行うには2つの方法があります。

PHPを介してパッチをインストールする

  1. FTPクライアントを使用して、特定のパッチをMagentoフォルダーのルートにアップロードします。
  2. パッチを実行するapplypatch.phpというPHPファイルを作成し、Magentoフォルダーのルートにアップロードします。バージョン1.8.x-1.9.xのパッチを使用しない場合は、ここで正しいパッチ名を使用してください

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. http://your.domain.com/applypatch.phpのファイルにアクセスし、出力が期待どおりに見えるかどうかを確認します。

パッチを手動でインストールする

.shファイルには「DIFF」パッチが含まれています。これらは、削除および追加された行を示します。私はお勧めしませんが、FTPを介してファイルを手動でダウンロードし、選択したエディターでこれらのファイルを編集し、FTPを介して再度アップロードすることができるはずです。形式は解釈するのが難しくないので、すべてのファイルに対してこれを行うことができ、数分以上かかることはありません。


3
必要なファイルを新しいバージョンに編集するだけでパッチが「適用」された場合、将来のパッチ適用の試みは、すでにパッチが適用されていることをユーザーに通知しますか?
pspahn

4
少なくともSUPEE-5344およびSUPEE-1533については、app / etc / applied.patches.listに書き込まれた一種のログがあるようです。パッチが実際に実行したことに関する一般情報を提供します。Magentoのコードベースでこのファイルを参照するためにgrepを実行しましたが、適用されたパッチを追跡するロジックがない可能性があることを意味するものは何も返しませんでした。サイドノート:パッチはコアハック
sparecycle

4
この方法では、ウェブサーバーにファイルへの書き込みアクセス権が必要です。あなたは、このメソッドのメイクを使用する場合は絶対にあなたが戻ってWebサーバーがと/ var /メディア以外のファイルに書き込むことはできませんので、彼らが何であったかにパーマを変更すること
ケビン・シュローダー

「エラー:「/ app / etc /」は適切なツール作業のために存在しなければなりません。」、助けてください
タヒルヤシン

3

私の場合、バージョンメンテナンスにbitbucketを使用し、bitBucket経由でのみ変更をライブで行います。

パッチを適用するときに、ローカルシステムでそのパッチを適用し、すべてをテストします。私のウェブサイトが機能していること。

すべての変更をbitbucketにプッシュし、ライブサイトですべての変更をプルすると、パッチが適用されます。

sshアクセスがない場合に何をするか

1)ローカルでパッチを適用し、変更をbitbucketにプッシュします。Bitbucketは、最後のコミットから変更されたファイルを示します。

2)FTPを介してこれらのファイルを手動でアップロードすると、パッチが適用されます。


2

FTP / sFTPまたはFileManager / File Uploadを介してMagentoパッチを適用します。

方法1:

この方法でパッチを適用するには、変更されたファイルを単純に置き換えます。あなたやあなたの開発者がMagentoのコアファイルを変更した場合、この方法を盲目的に使用することはできません(ちなみに、これは大したことではありません)。そのような変更は、パッチを適用したファイルに再適用する必要があります。そうしないと、これらの変更が失われます。

以下のURLにアクセスして、次のパッチをダウンロードしてください。

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

方法2:-

https://magento.com/tech-resources/download#download1972にパッチファイルをダウンロードします 。magentoのルートにパッチファイルをアップロードします。

patch.phpという名前のファイルを1つ作成し、次のコードを記述します。

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

ブラウザからpatch.phpを実行します。

このようなエラーが発生する場合、

「エラー!このshスクリプトで使用されるいくつかの必要なシステムツールがインストールされていません。ツールの「パッチ」が見当たりません(インストールしてください)。

つまり、shスクリプトを実行するためのシステムツールはサーバーにインストールされていません。


-2

SSHアクセスなしでそれを行うことは不可能だと思いますが、cpanelまたは他のパネルでいつでもSSHアカウントを作成でき、ホスティングによってSSHアカウントを作成するためのチュートリアルが見つかる可能性が非常に高くなります。会社は「ホスティング会社の名前+ sshの作成」をグーグルで検索します。


-3

パッチをダウンロードします(実際には、1はEE用、もう1つはCE用です)、最初にクイックバックを実行することをお勧めします。

cp -r public_html backup(public_htmlを完全なmagentoインストールに置き換えます)

最初にバックアップディレクトリにパッチをFTPで送信し、バックアップで実行してすべてを確認します。sh patchname.sh

大丈夫?実際のインストールと実行にパッチをFTP

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

また、このガイドは、「パッチによって変更されたファイルに所有権を再適用するには:Webサーバーユーザーを見つけます:ps -o "ユーザーグループコマンド" -C httpd、apache2」USER列の値はWebサーバーユーザー名です。 CentOSのApache Webサーバーユーザーはapacheで、UbuntuのApache Webサーバーユーザーはwww-dataですroot権限を持つユーザーとして、Magentoインストールディレクトリからコマンドchown -R web-server-user-nameを入力します。たとえば、Apacheが通常www-dataとして実行されるUbuntuでは、chown -R www-dataと入力します。

rootとしてpsコマンドを実行し、ユーザーとしてrootのみを取得し、chown -R rootを実行してインストールを盗聴し、インストールされたユーザーアカウントのユーザー名でもう一度実行しました


また、代わりにこのphpスクリプトを使用してファイルのアクセス許可をクリーンアップしました。magenmarket.com/news
Cozy

3
あなたは一連のコマンドを実行することを提案している、私はSSH経由で推測します。OPの問題は、「SSHを使用せずにこれを行う方法」です
...-7ochem

ああ!何とおっしゃいましたか!私のエラー
居心地の良い
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.