新しいパッチsupee-6788パッチの適用方法

今日（2015年10月27日）パッチを数週間待ってからリリースされました：SUPEE-6788

多くのパッチが適用されており、インストールされているモジュールの脆弱性を確認することも推奨されます。

パッチの適用方法に関する洞察を得るために、この投稿を開きます。パッチを適用する手順は何ですか？私の理解では、これは手順です：

1. 管理URLの下にない管理機能を持つモジュールを修正する
2. フィールド名またはエスケープフィールドとしてSQLステートメントを使用するモジュールを修正する
3. {{config path=”web/unsecure/base_url”}}およびなどの変数を使用するホワイトリストブロックまたはディレクティブ{{bloc type=rss/order_new}}
4. カスタムオプションファイルタイプによる潜在的なエクスプロイトへの対処（これを行う方法がわかりません）
5. パッチを適用する

これは正しい手順ですか？

一般に、以前のすべてのパッチと同じようにパッチを適用できます。公式文書を見て、このSEの投稿をチェックしてください。ただし、このパッチを適用する際に確認する必要がある追加のポイントがいくつかあります。Byte / Hypernodeには、それに関する素晴らしい投稿があります。

1. テーマにcustom template/customer/form/register.phtmlまたはcustom があるかどうかを確認しますtemplate/persistent/customer/form/register.phtml。この場合、が含まれていることを確認してくださいform_key。
2. テーマにカスタムがあるかどうかを確認しますlayout/customer.xml。この場合、パッチから必要な変更を適用してください（customer_account_resetpasswordに変更されていますcustomer_account_changeforgotten）。
3. CMSページ、静的ブロック、または電子メールテンプレートで非標準の変数を使用していますか？次に、それらをホワイトリストに登録してください。変数/ブロックをホワイトリストに登録する方法については、このSEの質問をご覧ください。
4. cron.phpHTTP経由で実行しますか？を使用することを確認してくださいcron.sh。これが不可能な場合は、少なくともCLI PHPを介してcron.phpを呼び出すようにしてください。何らかの理由で実際のcronjobを設定できず、HTTP経由で実行する必要がある場合は、このSEの質問を参照してください
5. すべての拡張機能が「新しい」管理ルーティングを使用していることを確認してください。あなたは使用することができ、このN98-magerunのチェックするプラグインを。このCLIスクリプトを使用することもできます。あなたも見持つことができ、この関連のSEの質問を。
   6. すべての拡張機能が適切な管理ルーティングを使用する場合は、[システム]-[構成]-[管理]-[セキュリティ]で[管理ルーティングの互換モードを有効にする]を無効にしてください。
6. M2eProを使用している場合、古いバージョンは新しいパッチで動作しないため、M2eProを最新バージョンに更新します。

更新するときは、必ずファイルを削除してくださいdev/tests/functional/.htaccess。Magento 1.9.2.2にはもう存在しません。それを維持することは、あなたがまだ脆弱であることを意味します。

いずれにしても、更新後にMageReportでページをチェックして、すべてがうまくいったかどうかを確認してください。

Piotrによる技術的なブログ投稿もあり、重要な変更について説明しています。

問題の特定に役立つチェックファイルがあります：https : //github.com/gaiterjones/magento-appsec-file-check

CLIスクリプトを作成しました。 https://github.com/Schrank/magento-appsec-file-check

Nginxの場合は、cron.phpおよびdevフォルダーへのアクセスを必ずブロックしてください。このブロックを使用します。

location ~ ^/(app|includes|media/downloadable|pkginfo|report/config.xml|var|magmi|cron.php|dev)/? { deny all; }

1.10.1 EEにパッチを適用したところ、コアがAPPSEC-1063に準拠していないため、ネイティブスクリーンで副作用が発生します。

例：

に app/code/core/Mage/Customer/Model/Entity/Attribute/Collection.php

addFieldToFilterAPPSEC-1063に準拠していない2つの呼び出しを見つけることができます。

これにより、Customer> Attributeグリッドが破損するため、APPSEC-1063セクションのpdf "SUPEE-6788-Technical％20Details％20.pdf"で推奨されているトリックを使用して、パッチをパッチする必要があります。

いくつかの変更

    $this->addFieldToFilter($field, 0);

（$ fieldには複雑な（CASE .. WHEN THEN ...）SQLステートメントが含まれます）

に

    $resultCondition = $this->_getConditionSql($field, 0);
    $this->_select->where($resultCondition);

rhoerrのsupee-6788-toolboxとgaiterjonesの両方は、この種の問題を検出しませんでした。他のすべてをチェックしました-> addFieldToFilter（$で、どれも問題の原因ではないようです。

その他の影響を受ける1.10コアファイル：（rhoerrのsupee-6788-toolboxで発見）

app/code/core/Mage/Bundle/Model/Mysql4/Option/Collection.php 

もっとあるかもしれません。