সুরক্ষা প্যাচ SUPEE-11086 - সম্ভাব্য সমস্যা?

Magento এম 1 এর জন্য একটি নতুন সুরক্ষা প্যাচ প্রকাশ করেছে এবং এম 1 এবং এম 2 এর জন্য আপডেট করেছে।

এই প্রকাশগুলির মধ্যে গুরুতর সুরক্ষা সংশোধন অন্তর্ভুক্ত রয়েছে। "আমরা দৃ strongly়ভাবে সুপারিশ করি যে যত তাড়াতাড়ি সম্ভব সমস্ত বণিক আপগ্রেড করুন" "

এই প্যাচটি আপগ্রেড করার সময় বা প্রয়োগ করার সময় আমার কোন সমস্যার জন্য নজর রাখা উচিত?

SUPEE-11086

SUPEE-11086, ম্যাজেন্টো কমার্স 1.14.4.1 এবং ওপেন সোর্স 1.9.4.1 এ একাধিক সুরক্ষা বর্ধন রয়েছে যা দূরবর্তী কোড কার্যকরকরণ (আরসিই), ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস), ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) এবং অন্যান্য দুর্বলতাগুলিতে সহায়তা করে।

ম্যাজেন্টো 2.3.1, 2.2.8 এবং 2.1.17 সুরক্ষা আপডেট

এই সংস্করণগুলিতে একাধিক কার্যকরী এবং সুরক্ষা আপডেট রয়েছে। ঝুঁকি: 2.1.17, 2.2.8 এবং 2.3.1 এর আগে ম্যাজেন্টো বাণিজ্য এবং ম্যাজেন্টো ওপেন সোর্সের জন্য সমালোচনা।

সর্বাধিক সমস্যা, যা পাওয়া গেছে: Mage::log()ভুলভাবে কাজ করে। আপনি যদি কাস্টম লগ ফাইলের সাথে এই ফাংশনটি কল করেন (এবং এটি এখনও বিদ্যমান নেই), এসইপিইই-11086-তে যুক্ত হওয়া অতিরিক্ত বৈধতার কারণে ফাইলটিতে লগটি লেখা হবে না।

গুরুত্বপূর্ণ: প্যাচটির নামটিতে প্যাচটি প্রয়োগ করা সর্বোচ্চ সংস্করণ অন্তর্ভুক্ত। সুতরাং 1.9.3.10 এর জন্য প্যাচটি অন্য প্যাচটিতে 1.9.3.10, 1.9.3.9, .... এ প্রয়োগ হবে। আমরা পরবর্তী প্রকাশে নামকরণের উন্নতি করার চেষ্টা করব এবং এটিতে আপনি https://github.com/steverobbins/magedownload-cli ব্যবহার করতে পারেন কারণ এটিতে API এর মাধ্যমে সংস্করণগুলি মেটাডেটা সঠিকভাবে দেখা উচিত।

অন্যদের মত, আমারও লগ ফাইলগুলি ডেটা লেখা সম্পূর্ণ বন্ধ করে দিয়েছে।

বাগের উত্স - লগ ফাইল ডেটা লিখন নয়

মধ্যে app/Mage.php তারা এই পরিবর্তনটি করে:

         // Validate file extension before save. Allowed file extensions: log, txt, html, csv
         -        if (!self::helper('log')->isLogFileExtensionValid($file)) {
         +        $_allowedFileExtensions = explode(
         +            ',',
         +            (string) self::getConfig()->getNode('dev/log/allowedFileExtensions', Mage_Core_Model_Store::DEFAULT_CODE)
         +        );
         +        $logValidator = new Zend_Validate_File_Extension($_allowedFileExtensions);
         +        $logDir = self::getBaseDir('var') . DS . 'log';
         +        if (!$logValidator->isValid($logDir . DS . $file)) {
                 return;
             }

যা অনুমোদিত ফাইল এক্সটেনশনের একটি কমা দ্বারা পৃথক করা তালিকাটির জন্য কনফিগারেশনে সন্ধান করছে। তারা কনফিগারেশনে এই তালিকাটি যুক্ত করেনি - এমনকি আমাদের নিজেরাই এটি কনফিগার করার জন্য ম্যাগ অ্যাডমিনের একটি বিকল্পও নয়।

বাগের সমাধান - লগ ফাইল ডেটা লিখন নয়

এটি সমাধানের জন্য, কেবল core_config_dataসারণীতে ডাটাবেসে প্রবেশ করুন ।

INSERT INTO core_config_data VALUES ( NULL, 'default', 0, 'dev/log/allowedFileExtensions', 'log,txt,html,csv' );

পাশাপাশি বস্তুগুলি ক্যাশে সাফ করুন এবং আপনার আবার লগ ফাইলগুলিতে ডেটা লিখন দেখতে হবে।

ls -lrt var/log/ | tail

রেফারেন্সের জন্য, সমস্ত ইস্যুটি EE 1.14.2.0 এ ছিল সমস্ত সুরক্ষা প্যাচ প্রয়োগ করা হয়েছিল।

আমি এই ইস্যুতে ম্যাজেন্টো সাপোর্টের সাথে টিকিট খুললাম তবে এখনও কোনও প্রযুক্তিবিদের কাছ থেকে প্রতিক্রিয়া পাইনি। আমি কাতারে আছি

আমাকে এই বাগটি সম্পর্কে সত্যই কী বিভ্রান্ত করছে তা হ'ল 2017 এর শেষের দিকে তারা ম্যাসেন্টোর লগ ফাইল এক্সটেনশানগুলি যাচাই করার জন্য একটি পদ্ধতি রয়েছে যা তারা 2017 সালের শেষের দিকে SUPEE-10415 এর মাধ্যমে যুক্ত করেছে।

app/code/core/Mage/Log/Helper/Data.php

    /**
     * Checking if file extensions is allowed. If passed then return true.
     *
     * @param $file
     * @return bool
     */
    public function isLogFileExtensionValid($file)
    {
        $result = false;
        $validatedFileExtension = pathinfo($file, PATHINFO_EXTENSION);
        if ($validatedFileExtension && in_array($validatedFileExtension, $this->_allowedFileExtensions)) {
            $result = true;
        }

        return $result;
    }

তারা লগ হুইলটিকে অসম্পূর্ণ পুনঃ-আবিষ্কারের চেষ্টা করার পরিবর্তে সেই যুক্তিটিকে কেন পুনরায় ব্যবহার করেনি?

Mage::log()লগ ফাইলগুলিতে প্রাথমিকভাবে উপস্থিত না থাকলে কিছু লিখতে ব্যর্থ হয়। এটি কল করার সময় একটি পাওয়া যায়নি ত্রুটি নিক্ষেপের isValidফাংশনের কারণে Zend_Validate_File_Extensionএটি Zend_Loader::isReadable($value)। isValidলগ ফাইলটি আসলে তৈরি হওয়ার পরে চেষ্টা / ক্যাপচারে গিয়ে সাময়িকভাবে এটি ঠিক করেছি এবং যদি বৈধতা ব্যর্থ হয় তবে ফাইলটি সরিয়ে ফেলা:

<?php
final class Mage
{
    ...
    public static function log($message, $level = null, $file = '', $forceLog = false)
    {
        ...

        try {
            if (!isset($loggers[$file])) {
                $logFile = $logDir . DS . $file;

                if (!is_dir($logDir)) {
                    mkdir($logDir);
                    chmod($logDir, 0750);
                }

                if (!file_exists($logFile)) {
                    file_put_contents($logFile, '');
                    chmod($logFile, 0640);
                }

                if (!$logValidator->isValid($logFile)) {
                    unlink($logFile);

                    return;
                }

        ...
    }
}

আমাদের কাছে আরও কিছুটা শক্ত না হওয়া পর্যন্ত এটি অবশ্যই একটি অস্থায়ী সমাধান

1.9.3.10 প্যাচিং সহ সম্ভাব্য সমস্যা

checking file app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
Hunk #1 FAILED at 57.
1 out of 1 hunk FAILED

প্যাচটিতে আমাদের রয়েছে:

diff --git app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
index 8d3c526c280..fde2ef0d45d 100644
--- app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
+++ app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
@@ -57,7 +57,7 @@ class Mage_Adminhtml_Block_Customer_Group_Edit extends Mage_Adminhtml_Block_Widg
                 'form_key' => Mage::getSingleton('core/session')->getFormKey()
             ));
         } else {
-            parent::getDeleteUrl();
+            return parent::getDeleteUrl();
         }
     }

যাইহোক, ১.৯.৩.১০ তে কোডটির দিকে তাকানো (ম্যাজ এলটিএসের মাধ্যমে) আমি সেই কোডটি প্রশ্নে দেখছি না:

https://github.com/OpenMage/magento-lts/blob/1.9.3.x/app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php

কিন্তু এটি 1.9.4 এর জন্য বিদ্যমান

https://github.com/OpenMage/magento-lts/blob/1.9.4.x/app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php

সম্ভাব্য কারণ হ'ল অনুপস্থিত প্যাচ যা পূর্বে প্রয়োগ হয় নি।

PATCH_SUPEE-11086_CE_1.9.1.0_v1-2019-03-26-03-03-13 ব্যবহার করে ম্যাজেন্টো 1.9.0.1 এ প্যাচটি ইনস্টল করার চেষ্টা করছি sh আমি এই ত্রুটিটি পেরিয়ে এসেছি

Hunk #1 FAILED at 141.
1 out of 1 hunk FAILED

আমি 'app / etc / config.xml' থেকে নিম্নলিখিত কোডটি সরিয়ে এবং আবার প্যাচ চালিয়ে এটি ঠিক করেছি

<dev>
    <template>
        <allow_symlink>0</allow_symlink>
    </template>
</dev>

আমি এম 1 প্যাচগুলির নামকরণ সম্পর্কেও কিছুটা বিভ্রান্ত।

পুরানো প্যাচগুলির জন্য তারা তাদের নাম পছন্দ করেছে SUPEE-10975 for CE 1.9.3.4-1.9.3.10বা SUPEE-10888 for CE 1.9.2.0-1.9.2.4 (0.07 MB)এখন এটি কেবল একটি সংস্করণে সম্বোধন করছেPATCH_SUPEE-11086_CE_1.9.3.10_v1.sh ।

বর্তমান প্যাচটি কোনও নাবালিক মুক্তির সমস্ত প্রকাশকেই সম্বোধন করছে নাকি কেবল শেষটি?

আমি একটি 1.9.3.1 স্টোর দিয়ে একটি পরীক্ষা করেছি এবং সমস্ত কিছু পেরিয়ে গেছে তবে আমি নিশ্চিত নই যে এটি অন্যান্য রিলিজের জন্য সঠিক কিনা?

ম্যাজেন্টো 1.9 এ লগিং বিরতি। SUPEE-11086 প্যাচে লগিং ঠিক করতে:

অ্যাপ্লিকেশন / Mage.php এ:

-        $logValidator = new Zend_Validate_File_Extension($_allowedFileExtensions);
         $logDir = self::getBaseDir('var') . DS . 'log';
-        if (!$logValidator->isValid($logDir . DS . $file)) {
+        $validatedFileExtension = pathinfo($file, PATHINFO_EXTENSION);
+        if (!$validatedFileExtension || !in_array($validatedFileExtension, $_allowedFileExtensions)) {

সংস্থান: https://gist.github.com/piotrekkineski/0596cae2d25bf467edbd3d3f03ab9f8f

আশা করি এটা কাজে লাগবে!

এম 1 এর জন্য প্যাচে থাকা সমস্ত নতুন পিএইচপি ফাইলগুলিতে অ-প্রক্রিয়াজাতকরণ টেম্পলেট ভার রয়েছে

<?php
/**
 * {license_notice}
 *
 * @copyright   {copyright}
 * @license     {license_link}
 */

কোনও সমস্যা নয় তবে ভুল দেখাচ্ছে। SUPEE-10975 এর পরে আমারও একই অনুভূতি হয়েছিল।

আমি লক্ষ্য করেছি যে লগ ফাইলগুলির একটি সমস্যা আর তৈরি হচ্ছে না এবং লগ ফাইলটি ইতিমধ্যে উপস্থিত থাকলে কেবল এটি লিখিত থাকবে। এটি লাইন দ্বারা সৃষ্ট বলে মনে হচ্ছে:

if (!$logValidator->isValid($logDir . DS . $file)) {

অ্যাপ্লিকেশন / Mage.php থেকে। আমি পুরানো যুক্তি ব্যবহার করে এটি ঠিক করেছি। সুতরাং নিম্নলিখিতটি দিয়ে উপরের রেখাটি প্রতিস্থাপন করুন:

if (!self::helper('log')->isLogFileExtensionValid($file)) {

ফাইল অ্যাপ্লিকেশন / কোড / কোর / ম্যাজ / অ্যাডমিনটিচটিএমএল / ব্লক / গ্রাহক / গোষ্ঠী / সম্পাদনা.এফপি পরীক্ষা করা হচ্ছে হুন # 1 এফএলএড 57 এ

প্যাচ 10975 এ এই সময়ে একটি ত্রুটি ছিল। ফেরতের বিবৃতি অনুপস্থিত ছিল। প্যাচ 10975 প্রয়োগ করার পরে আপনি এই বাগটি ঠিক করেছেন বা পরিবর্তনটিকে উপেক্ষা করেছেন। ত্রুটিটি 11086 এ স্থির করা হয়েছিল code কোডটির এই লাইনটি ইতিমধ্যে আপনার দ্বারা সামঞ্জস্য / উপেক্ষা করা থাকলে এটি নতুন প্যাচ প্রয়োগ করার সময় আপনি বর্ণিত ত্রুটির ফলস্বরূপ। আপনি যদি ইতিমধ্যে বাগটি ঠিক করে ফেলেছেন তবে কেবল প্যাচ ফাইলে থাকা ব্লকটি সরিয়ে আবার প্যাচটি চালান run

SUPEE-11086 ব্যবহার করছে উপরের রায়ান হোয়ারের পরামর্শ অনুসারে সিই_1৯.৯.১.০

SUPEE-11086 প্রয়োগ করা হচ্ছে সিই_1৯.৯.১.০ | ভি 1 | 3f120e6a795eed55267bd2b9164b3984913ddfc9 | শুক্র মার্চ 22 18:40:11 2019 +0000 | 4f3f369e723fe31212cb5be9adda113f891d7f62..HEAD

সিই_19.9.2.1

আমি প্রতিটি ফাইল একটি ব্যর্থ পেতে।

আমি প্যাচ সফলভাবে অন্যান্য ভান্ডারে প্রয়োগ করেছি।

কোর কোডটি অচ্ছুত।

প্রয়োগিত প্যাচগুলির তালিকা

SUPEE-6788
SUPEE-7405-CE-1-9-2-2
SUPEE-7405 
SUPEE-8788 
SUPEE-9652 
SUPEE-8967 
PATCH_SUPEE-9767_CE_1.9.3.0_v2
SUPEE-10266-CE-1.9.2.4
SUPEE-10415-ce-1.9.2.1
SUPEE-10570_CE_v1.9.2.2
SUPEE-10570_CE_v1.9.2.2
SUPEE-10570_CE_v1.9.2.2
SUPEE-10752_CE_v1.9.2.4
SUPEE-10888_CE_v1.9.2.4
SUPEE-10975_CE_v1.9.3.3

M1.9.3.7 প্যাচ PATCH_SUPEE-11086_CE_1.9.3.10_v1.sh সহ সমস্যাগুলি

checking file app/Mage.php
checking file app/code/core/Mage/Admin/Model/Session.php
checking file app/code/core/Mage/Adminhtml/Block/Api/Buttons.php
checking file app/code/core/Mage/Adminhtml/Block/Catalog/Product/Edit.php
checking file app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
Hunk #1 FAILED at 57.
1 out of 1 hunk FAILED
checking file app/code/core/Mage/Adminhtml/Block/Permissions/Buttons.php
checking file app/code/core/Mage/Adminhtml/Block/System/Design/Edit.php
checking file app/code/core/Mage/Adminhtml/Block/System/Store/Edit.php
checking file app/code/core/Mage/Adminhtml/Controller/Action.php
checking file app/code/core/Mage/Adminhtml/Helper/Data.php
checking file app/code/core/Mage/Adminhtml/Model/Email/PathValidator.php
checking file app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
Hunk #1 FAILED at 69.
1 out of 1 hunk FAILED

SUPEE-11086অ্যাডমিন ড্যাশবোর্ড চার্ট প্যাচ পর্যন্ত সমস্ত কিছু সহ 1.9.1.1 এর নতুন ডাউনলোড করা এবং পুরোপুরি প্যাচ করা সংস্করণে প্রয়োগ করার চেষ্টা করার সময় কোনও সমস্যা উপস্থিত রয়েছে তা নিশ্চিত করতে পারে -MPERF-10509-CE-2019-03-13-06-31-24.diff

প্যাচ নিম্নলিখিত ফাইলগুলিতে ব্যর্থ।

app/code/core/Mage/Adminhtml/Block/Api/Buttons.php
app/code/core/Mage/Adminhtml/Block/Permissions/Buttons.php
app/code/core/Mage/Api2/Block/Adminhtml/Roles/Buttons.php

V1.9.1.1 ডাউনলোডের প্রাথমিক কমিট থেকে এই ফাইলগুলির কোনও পরিবর্তন নেই have ১.৯.২.৪ ইনস্টল থেকে ফাইলগুলি অনুলিপি করা হচ্ছে, এসইপিইইই-১১০86 v প্রয়োগ করা এবং তারপরে ভি ১.৯.৪.১ উত্সের সাথে তুলনা করা এখন তা মিলছে কিনা তা নিশ্চিত করে।

Magento v1.9.1.1 কিছুটা সমস্যা সন্তান মনে হচ্ছে ...

SUPEE-11086অ্যাডমিন ড্যাশবোর্ড চার্ট প্যাচ পর্যন্ত সমস্ত কিছু সহ 1.9.3.0 এর নতুন ডাউনলোড করা এবং পুরোপুরি প্যাচ করা সংস্করণে প্রয়োগ করার চেষ্টা করার সময় কোনও সমস্যা উপস্থিত রয়েছে তা নিশ্চিত করতে পারে -MPERF-10509-CE-2019-03-13-06-31-24.diff

নীচের নোড অনুপস্থিত থাকায় অ্যাপ / কনফিগারেশন। XML এ প্যাচ ব্যর্থ হয়েছে। SUPEE-11086 চালানোর আগে নোড যুক্ত করুন, কোনও সমস্যা নেই।

<config>
    </default>
        <dev>
            <template>
                <allow_symlink>0</allow_symlink>
            </template>
        </dev>
    </default>
</config>

আমি মডেলটি নিয়ে একটি নতুন সমস্যা আবিষ্কার করেছি Mage_Eav_Model_Attribute_Data_File

গ্রাহক সত্তা, আমি ফাইল আপলোড বৈশিষ্ট্য যুক্ত করেছি। এই বৈশিষ্ট্যগুলির প্রয়োজন হয় না, এবং যখন আমি কোনও নতুন আপলোড না করেই কোনও ফাইল মুছতে চাই, মুছে ফেলা কাজ করছে না, কারণ বৈশিষ্ট্যটির মানটি নতুন পদ্ধতির মাধ্যমে বৈধ নয়setAttributeValidationAsPassed()

আমি যে দ্রুত ফিক্স করেছি তা পদ্ধতিতে রয়েছে validateValue($value)

if (!$attribute->getIsRequired() && !$toUpload) {
    $attribute->setAttributeValidationAsPassed(); // this new line is added 
    return true;
}

এই সমস্যাটি এখনও থেকে সমস্ত ম্যাজেন্টো 1.x প্রকাশে উপস্থিত বলে মনে হচ্ছে SUPEE-11086

ম্যাজেন্টো 1..৯.৩.১

প্যাচ PATCH_SUPEE-11086_CE_1.9.3.10_v1.sh প্যাচ ব্যবহার করে সিই ১.৯.৩.১ প্যাচ করার চেষ্টা করার সময় সমস্যাটি দেখা দিয়েছে:

checking file app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
Hunk #1 FAILED at 69.
1 out of 1 hunk FAILED