タグ付けされた質問 「security」

Magentoに関するセキュリティの質問を示します。

15
セキュリティパッチSUPEE-7405-考えられる問題?
もう1つのパッチの日です。Magento1.xのSUPEE-7405がリリースされ、修正のリストは長いです:https ://magento.com/security/patches/supee-7405 最後のパッチを使用した後、もう一度質問する必要があります。パッチを適用するときに起こりうる問題は何ですか、また何を考慮する必要がありますか? 多くのXSSの問題が再び修正されたため、カスタムテーマに手動でパッチを適用する予定です。他に何か?後方互換性のない変更はありますか?

30
セキュリティパッチSUPEE-8788-起こりうる問題?
最新のMagento 1セキュリティパッチSUPEE-8788には17個のAPPSECアップデートが含まれているため、できるだけ早く適用することが非常に重要です。一方、下位互換性の問題は多く発生する可能性があり、過去1年間のパッチの履歴を考慮すると、不注意に適用することはありません。 良い点は、今回はフロントエンドテンプレートが含まれていないため、すべてのテーマにパッチを適用する必要がないように見えることです。 これは、Magento 1.8以降にのみ当てはまります。 それでも、パッチを適用した後に互換性の問題やバグが発生しましたか?

23
セキュリティパッチSUPEE-9767-考えられる問題?
16のAPPSECの問題に対処する新しいセキュリティパッチがMagento 1用に公開されています:https ://magento.com/security/patches/supee-9767 CVSSv3 Severityの脆弱性のうち7つは8.0以上であり、実際に悪用されているため、これは重要なパッチです。サイトはSUPEE-9767を適用するか、新しいリリースCE 1.9.3.3 / EE 1.14.3.3に更新できます。 SUPEE-9767を適用する際に注意すべき一般的な問題や落とし穴は何ですか? 更新2017-07-12: MagentoはSUPEE-9767 V2およびCE 1.9.3.4をリリースして、初期パッチの問題の多くに対処しました。V1を適用した場合、元に戻してからV2を適用する必要があります。まだパッチを適用していない場合は、V2を適用するだけで、ここで取り上げた問題のほとんどは関係ありません。

3
SUPEE-6285のインストール後のアクセス拒否エラー
Magento 1.7.0.2ストアにSUPEE-6285パッチをインストールした後、選択的な権限(すべての権限ではない)を持つユーザーのすべてのカスタムモジュールにアクセスしようとすると、システムが「アクセス拒否」エラーを表示します。下のスクリーンショット。 ユーザーのアクセス許可はロールリソースで適切に設定されており、これらの設定が確実に行われるようにアクセス許可設定を再適用しました。 この問題は複数のカスタム拡張機能で再現されているため、機能していないのは単一の拡張機能ではありません。 ログアウト/ログインし、キャッシュをクリアして、コンパイラーが無効になっていることを確認しました。 誰でもこれをトラブルシューティングする方法を提案できますか?

5
セキュリティパッチSUPEE-6788の影響を受けるモジュールを確認する方法
2015年10月27日に、MagentoはセキュリティパッチSUPEE-6788をリリースしました。技術的な詳細によると、修正された4つのAPPSECには、ローカルモジュールとコミュニティモジュールでのいくつかの修正が必要です。 APPSEC-1034、カスタム管理URLのバイパスのアドレス指定(デフォルトでは無効) APPSEC-1063、可能なSQLインジェクションに対処 APPSEC-1057、テンプレート処理方法により、個人情報にアクセスできます APPSEC-1079、カスタムオプションファイルタイプで潜在的なエクスプロイトに対処 このセキュリティパッチの影響を受けるモジュールを確認する方法を知りたいと思いました。 私は次の部分的な解決策を思いつきました: APPSEC-1034:<use>admin</use>すべてのローカルおよびコミュニティモジュールのconfig.xmlで検索します。これにより、この問題の影響を受けるすべてのモジュールがリストされるはずです。 APPSEC-1063:を検索addFieldToFilter('(し、addFieldToFilter('`地元やコミュニティのモジュールのすべてのPHPファイルに。変数も使用できるため、これは不完全です。 APPSEC-1057:を検索{{config path=し、{{block type=地元やコミュニティのモジュールのすべてのPHPファイルで、そしてホワイトリストからすべての要素をフィルタリングします。ただし、管理者によって追加されたテンプレート変数が含まれていないため、これは不完全です。 APPSEC-1079:わかりません。 Peter Jaap BlaakmeerによってコンパイルされたAPPSEC-1034およびAPPSEC-1063に対して脆弱な拡張機能のリストもあります。

6
重要なお知らせ:Magentoセキュリティパッチをダウンロードしてインストールします。(SSHアクセスのないFTP)
Magentoのセキュリティパッチは.shファイルのように見えますが、MagentoのインストールへのSSHアクセスなしにこれらのパッチをどのように適用しますか? また、これらのパッチは累積的ですか?IE:Magentoの将来のバージョンに含まれますか、それとも再適用する必要がありますか? 管理パネルにログインし、重大なセキュリティ警告を受け取ったため、この質問をしています: Magento Community Editionダウンロードページ(https://www.magentocommerce.com/products/downloads/magento/)から2つの重要なセキュリティパッチ(SUPEE-5344およびSUPEE-1533)をダウンロードして実装します。 まだ行っていない場合は、以前にリリースされた2つのパッチをダウンロードしてインストールし、攻撃者がMagentoソフトウェアでリモートでコードを実行するのを防ぎます。これらの問題は、Magento Community Editionのすべてのバージョンに影響します。 近日中にCheck Point Software Technologiesからのプレスリリースにより、これらの問題の1つが広く知られるようになり、悪用しようとするハッカーに警告する可能性があります。問題が公表される前に、予防策としてパッチが適用されていることを確認してください。 そして、これは2015年5月14日現在: Magento Community Editionのダウンロードページ(https://www.magentocommerce.com/products/downloads/magento/)から新しいセキュリティパッチ(SUPEE-5994)をダウンロードしてインストールすることが重要です。Magento Community Editionソフトウェアのすべてのバージョンに影響を与える複数のセキュリティ脆弱性からサイトを保護するために、この重要な更新をすぐに適用してください。このパッチは、最近の万引きパッチ(SUPEE-5344)に加えてインストールする必要があることに注意してください。 また、次のメールを受け取りました。 親愛なるMagento商人、 Magentoプラットフォームを潜在的な攻撃からさらに保護するために、複数の重要なセキュリティ修正を含む新しいパッチ(SUPEE-5994)を今日リリースしています。この更新プログラムは、攻撃者が顧客情報にアクセスできるシナリオなど、さまざまな問題に対処します。これらの脆弱性は、マルチポイントセキュリティプログラムを通じて収集されたものであり、これらの問題の影響を受けている販売者や顧客の報告は受けていません。 Magento Community Editionソフトウェアのすべてのバージョンが影響を受けるため、ソリューションパートナーまたは開発者と協力して、この重要なパッチをすぐに展開することを強くお勧めします。このパッチは、最近の万引きパッチ(SUPEE-5344)に加えてインストールする必要があることに注意してください。セキュリティ問題の詳細については、Magento Community Editionユーザーガイドの付録を参照してください。 Community Editionダウンロードページからパッチをダウンロードできます。SUPEE-5994パッチを探します。パッチはCommunity Edition 1.4.1〜1.9.1.1で利用可能です。 本番サイトに展開する前に、まず開発環境でパッチを実装およびテストして、期待どおりに機能することを確認してください。Magento Community Editionへのパッチのインストールに関する情報はオンラインで入手できます。 この問題にご関心をお寄せいただきありがとうございます。 2015年7月7日更新 2015年7月7日:新しいMagentoセキュリティパッチ(SUPEE-6285)–すぐにインストール 今日、重要なセキュリティ脆弱性に対処する新しいセキュリティパッチ(SUPEE-6285)を提供しています。このパッチは、Community Edition 1.4.1から1.9.1.1で利用可能であり、最新リリースであるCommunity Edition 1.9.2のコアコードの一部であり、今日ダウンロードできます。注意:SUPEE-6285が正しく機能するように、まずSUPEE-5994を実装する必要があります。Community Edition 1.9.2またはCommunity Editionダウンロードページからパッチをダウンロードします:https : //www.magentocommerce.com/products/downloads/magento/ 2015年8月4日更新 2015年8月4日:新しいMagentoセキュリティパッチ(SUPEE-6482)–すぐにインストール 本日、4つのセキュリティ問題に対処する新しいセキュリティパッチ(SUPEE-6482)を提供しています。APIに関連する2つの問題と2つのクロスサイトスクリプティングリスク。このパッチは、Community …

4
サインアップメールのパスワード。悪い練習?PCI準拠ですか?
Magento Enterprise(1.12)を使用していますが、アカウントにサインアップしたときにパスワードをメールで受け取ったという苦情を既に複数の顧客にメールで送っています。これは悪い習慣と見なされますが、Magentoにはすぐに使用できます。 これを変更してメールテンプレートから削除しますが、これは非常に簡単ですが、長らく悪い習慣と見なされていたのに、Magentoがこれを行う理由に興味がありましたか?ユーザーアカウントには機密情報がほとんど保存されておらず、クレジットカードの検証を行っていますが、「Magento Enterpriseはそのように処理するため、問題ありません」。答えが悪いようです。 また、Magentoの多くの開発者は、電話の検証を削除するなど、Magentoの新しいサイトを構築するときに、これを頻繁な「To Doリスト」の修正にしていますか?

16
セキュリティパッチSUPEE-10570-考えられる問題?
Magentoは、M1の新しいセキュリティパッチと、M1およびM2のアップデートをリリースしました。 このパッチをアップグレードまたは適用する際に注意すべき問題は何ですか? SUPEE-10570 SUPEE-10570、Magento Commerce 1.14.3.8、およびOpen Source 1.9.3.8には、リモートコード実行(RCE)、クロスサイトスクリプティング(XSS、およびその他の問題)を閉じるのに役立つ複数のセキュリティ拡張機能が含まれています。リリースノート。 MAGENTO 2.2.3、2.1.12、および2.0.18のセキュリティ更新 Magento CommerceおよびOpen Source 2.2.3、2.1.12、および2.0.18には、クロスサイトスクリプティング(XSS)、認証された管理ユーザーのリモートコード実行(RCE)、およびその他の脆弱性を閉じるのに役立つ複数のセキュリティ拡張機能が含まれています。リリースには、追加の機能修正が含まれています。機能修正の詳細については、Magento Commerce 2.0.18、2.1.12、2.2.3およびMagento Open Source 2.0.18、2.1.12、2.2.3のリリースノートをご覧ください。

4
magentoに適用されている最新のパッチバージョンを確認する方法
セキュリティパッチを適用しました PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh 私はWebサーバーへのSSHアクセスを持っていないので、プロバイダーが私のために仕事をしてくれました。すべてがうまくいったかどうかを自分で確認するにはどうすればよいですか? Magento CE 1.9.1.0を使用しています

9
セキュリティパッチSUPEE-10415-考えられる問題?
新しいMagento 1パッチSUPEE-10415がリリースされました。 このパッチは、いくつかのタイプのセキュリティ関連の問題に対する保護を提供します 情報ページ:https : //magento.com/security/patches/supee-10415 ダウンロードページ: https //magento.com/tech-resources/download 気をつけるべき問題は何ですか? また、パッチのインストール後に見つかったすべてのバグと問題を共有してください。 バニラにSUPEE-10415を適用することの問題1.9.1.1は、ショーは、塊エラーメッセージによる適用できないImage.php。 編集:2017年12月7日現在、SUPEE-10497で修正が提供されています 8788バージョン2がインストールされている必要があります。インストールされていない場合、「サポートされていないデータ型」エラーが表示されます。詳細情報。 SUPEE-10415へのアップグレード後、errors /ディレクトリからの「404:Page Not Found」エラー。この問題は、特定のサードパーティの拡張機能を実行するMagentoインストールでのみ発生します。 回避策:拡張機能またはカスタマイズによってPHP警告が生成されていないことを確認します。

11
セキュリティパッチSUPEE-10266-考えられる問題?
Magento 1用の新しいセキュリティパッチが公開され、APPSECの13の問題に対処 https://magento.com/security/patches/supee-10266 このパッチを適用する際に注意すべき一般的な問題は何ですか? SUPEE-10266、Magento Commerce 1.14.3.6およびOpen Source 1.9.3.6には、クロスサイトリクエストフォージェリ(CSRF)、不正なデータリーク、および認証された管理者ユーザーのリモートコード実行の脆弱性を閉じるのに役立つ複数のセキュリティ拡張機能が含まれています。これらのリリースには、画像の再読み込みとワンステップチェックアウトを使用した支払いに関する問題の修正も含まれています。

5
テンプレート上のシンボリックリンクはセキュリティ上の問題ですか?はいの場合、なぜですか?
Magentoは、シンボリックリンク経由でテンプレートを使用しないことをお勧めします。 Advanced > Developer > Template Settings > Allow Symlinks 警告!この機能を有効にすることは、潜在的なセキュリティリスクを表すため、実稼働環境では推奨されません。 今日まで、私はここでリスクを見ることはできません。 リスクは何ですか?


4
/ downloaderを保護する推奨方法は?
Magentoは、/ downloaderを使用してMagento Connect Managerを介してプログラムを便利にインストールするため、ボットまたはユーザーがインストールの資格情報を学ぼうとする可能性があるため、これもセキュリティ上の懸念事項であることは明らかです。 私のウェブサイトへのアクセスログを確認しましたが、www.mysite.com / downloaderへの試行回数に驚いた 回避策として、downloaderディレクトリの名前をdownloader.offlineに変更する習慣になりましたが、時々忘れます。(プログラムをインストールするために名前を変更するか、完了したら)。 このリンクを保護するための推奨される方法は何ですか?

4
新しいパッチsupee-6788パッチの適用方法
今日(2015年10月27日)パッチを数週間待ってからリリースされました:SUPEE-6788 多くのパッチが適用されており、インストールされているモジュールの脆弱性を確認することも推奨されます。 パッチの適用方法に関する洞察を得るために、この投稿を開きます。パッチを適用する手順は何ですか?私の理解では、これは手順です: 管理URLの下にない管理機能を持つモジュールを修正する フィールド名またはエスケープフィールドとしてSQLステートメントを使用するモジュールを修正する {{config path=”web/unsecure/base_url”}}およびなどの変数を使用するホワイトリストブロックまたはディレクティブ{{bloc type=rss/order_new}} カスタムオプションファイルタイプによる潜在的なエクスプロイトへの対処(これを行う方法がわかりません) パッチを適用する これは正しい手順ですか?

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.