タグ付けされた質問 「security」

2015年4月8日、新しいセキュリティパッチがリリースされました。同僚と私はパッチをチェックしていましたが、何が変更されたかについて議論するのはいつでも嬉しいことです。起こりうる最悪のことは何ですか？ 更新：投稿を完了するために、今日送信されたmagentoメールを追加したかっただけです。

28 magento-1.9  security  patches 

Magentoは、M1の新しいセキュリティパッチと、M1およびM2のアップデートをリリースしました。 このパッチ/アップグレードを適用する際に注意すべき一般的な問題は何ですか？ Magento 1 https://magento.com/security/patches/supee-11155 Magento 2 これは、今月末にEOLに達する2.1シリーズの最後のリリースになるはずです。 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 https://github.com/magento/magento2/releases/tag/2.1.18 https://github.com/magento/magento2/releases/tag/2.2.9 https://github.com/magento/magento2/releases/tag/2.3.2

28 magento2  magento-1  security  patches 

別の会社からサイトを取得することは非常に頻繁であり、現在はコードのコングロマリと、サイトで作業した数十人の人々に悩まされています。Magentoサイトが強化されていることを確認するために、セキュリティ担当者に依頼するアイテムのパンチリストを探しています。これは、誰かがすべてのコードに対して全責任を負い、クライアントがゼロから再構築したくない場合に必要になります。 私の質問：質問して文書化するアイテムのトップ10リストまたはトップ20リストはありますか？

27 security 

出力されたテンプレートデータをエスケープしてXSSを防ぐ組み込みのMagentoヘルパーはありますか？ または、PHP htmlspecialcharsまたはhtmlentities関数を使用するだけですか？

27 magento-1  template  security 

OK、誰かがこれを尋ねなければなりません：今日、2015年7月7日、Magento <1.9.2の新しいセキュリティパッチがリリースされました。 お店をできるだけ早く更新してください！ しかし、何が変更されましたか？対象のセキュリティ問題の既知のエクスプロイトはありますか？起こりうる最悪の事態は何ですか？ そして、破ることができるものはありますか？ダウンローダーのディレクトリが欠落している場合、パッチを適用することができなかったSUPEE-5994のように...

26 magento-1.9  security  patches  supee-6285 

Magentoは、M1の新しいセキュリティパッチと、M1およびM2のアップデートをリリースしました。 これらのリリースには、重要なセキュリティ修正が含まれています。「すべての販売者ができるだけ早くアップグレードすることを強くお勧めします。」 このパッチをアップグレードまたは適用する際に注意すべき問題は何ですか？ SUPEE-11086 SUPEE-11086、Magento Commerce 1.14.4.1およびOpen Source 1.9.4.1には、リモートコード実行（RCE）、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）およびその他の脆弱性を閉じるのに役立つ複数のセキュリティ強化が含まれています。 Magento 2.3.1、2.2.8、および2.1.17セキュリティアップデート これらのバージョンには、複数の機能およびセキュリティアップデートが含まれています。リスク：2.1.17、2.2.8、および2.3.1より前のMagento CommerceおよびMagento Open Sourceにとって重要です。

24 magento2  magento-1  security  patches  supee-11086 

今日、友人がMagento- SUPEE-5344の重要なセキュリティアップデートについて警告しました。主要なIT Webサイトでこのパッチに関する記事を見たことはありません。このアップデートをグーグルで検索しても、このアップデートに関するSEページは表示されますが、ダウンロードページを除き、Magentocommerce情報は表示されません。Magentoコマースフォーラムは読み取り専用です。 これは私に不思議にさせます-アラートはどこで見つけられますか？メーリングリストはどこで購読できますか？

22 magento-1  patches  security 

カスタムの管理URLを持っていますが、だれかが管理者にログインしようとしています。 私もそれを変更し、次のログインが試行された直後に。 どうしてこれが起こるのでしょうか、安全だと思いましたか？

22 admin  security 

注： この問題は、SUPEE-6788パッチを受け取ったMagentoのすべてのバージョンに当てはまるようです。私の答えでは、パッチを成功させるには両方 .htaccessを.htaccess.sample復元する必要があることがわかります。 magentocommerce.com/downloadsが提供するシェルスクリプトを使用して、CE 1.7.0.2サイトにSUPEE-6788パッチを適用する作業を行っています。このサイトには、以前のセキュリティパッチがすべて適用されています。 スクリプトの名前はPATCH_SUPEE-6788_CE_1.7.0.2_v1-2015-10-27-12-00-16.shmd5sumですcfc0cf533fe36a5f573414f0feeb1590（このパッチは、圧縮されていない状態でリリースされたという点で異常でしたが、ファイルは破損または切り捨てられていないようです）。 このスクリプトを実行すると、含まれているパッチの少なくとも1つが失敗したかスキップされたが、パッチの多くの部分が成功したが、git変更が表示されていないことを示すコンソール出力が表示されます。このスクリプトは、同じコードベースを持つ2つの異なる環境でテストされています。1つはUbuntu GNOME 14.04 LTSワークステーション、もう1つはnexcess.com共有サーバー（CentOSを実行）です。 興味深いのは、2つの環境での出力がわずかに異なることです。「checking」と「patching」で始まる行に注意してください。 Ubuntu環境からの出力のサンプル： bash PATCH_SUPEE-6788_CE_1.7.0.2_v1-2015-10-27-12-00-16.sh [19:27:10] Checking if patch can be applied/reverted successfully... ERROR: Patch can't be applied/reverted successfully. checking file .htaccess Hunk #1 FAILED at 207. 1 out of 1 hunk FAILED can't find file to patch at input line …

21 magento-1.7  ce-1.7.0.2  security  patches  supee-6788 

SUPEE-10888は、Magento 1の新しいセキュリティパッチで、12のセキュリティ問題に対処します。 https://magento.com/security/patches/supee-10888 SUPEE-10888、Magento Commerce 1.14.3.10およびOpen Source 1.9.3.10には、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）、およびその他の脆弱性を閉じるのに役立つ複数のセキュリティ拡張機能が含まれています。 パッチはhttps://magento.com/tech-resources/download#download2243にあります。 このパッチを適用する際に注意すべき一般的な問題は何ですか？

21 magento-1  patches  security  supee-10888 

magentoは、フォルダーに700、ファイルに600の/ varと/ mediaを持っていると言っていることを理解していますが、これを行うと、サイトの特定の部分が破損します。ほとんどの人がこれらのフォルダーに使用するアクセス許可を知りたいです。

21 magento-1.7  security  permissions 

新規の顧客登録チェックアウトが成功した後、 SUPEE-8788、SUPEE-9652、およびSUPEE-9767でパッチされ、新しい「チェックアウト時のフォームキー検証を有効にする」設定がオンになっているMagento 1.9.2.4のクリーンなバニラインストールでデフォルトのOne Page Checkoutの場合、新しい顧客は作成されず、顧客はログインしませんが、注文は順調に進みます。 [チェックアウト時のフォームキー検証を有効にする]設定をオフにすると、この機能が再び機能します。他の誰かがこの問題を抱えていましたか？どの配送/支払い方法が使用されるかは問題ではないようです。 それ以来、Magento 1.9.3.3の新しい、変更されていないインストールでこれを試しましたが、同じ問題があるようです。1ページのチェックアウトで新規顧客を登録する場合、「チェックアウト時のフォームキー検証を有効にする」設定がオンになっている限り、注文が正常に完了しても顧客は作成されません。

19 security  patches  ce-1.9.2.4  magento1.9.3  supee-9767 

Magento 2開発環境で次のエラーメッセージが表示される Webサーバーが正しくセットアップされていないため、機密ファイルへの不正アクセスが許可されます。ホスティングプロバイダーにお問い合わせください 誰でも追跡している どのようなセキュリティチェックが行われていますか？ これらのチェックはコアコードのどこで行われますか？

18 magento2  php  security 

製品をリストしたページがあります、それだけです。その種類のcatalog/view.phtmlクローン。ちょうど含まれていapp/Mage.phpます。 このページでは Mage::getSingleton('core/session')->getFormKey(); しかし、他のページのformKeyとは異なります 何が間違っていますか？

18 ce-1.8.1.0  security  forms  form-key  csrf 

お客様のクレジットカードデータを収集するためにハッキングされたと思われるサイトで作業していますが、確実ではありません。 私はしませんでした、私はいくつかの記事で示唆見てきた共通の場所で任意の不審なコードを見つけます。 私は疑わしい「壊れた」画像ファイルを見つけました： /skin/adminhtml/default/default/images/db-tab-bottom-right-bg_bg.gif ファイル拡張子を変更して彼女を開いたが、それは暗号化されたテキストの壁であり、JPEG-1.1散らばっている。 サイトが侵害されているかどうかを確認するにはどうすればよいですか？ パッチが適用されたことを確認しましたが、パッチの前にハッキングが発生した可能性があります。 編集：影響を受けるバージョンは1.7.0.2です

17 magento-1.7  ce-1.7.0.2  security