নতুন প্যাচ supee-6788 কীভাবে প্যাচ প্রয়োগ করবেন

29

প্যাচটির জন্য আজ কয়েক সপ্তাহ অপেক্ষা করার পরে (27.10.2015) এটি প্রকাশিত হয়েছিল: SUPEE-6788

প্রচুর জিনিস প্যাচ করা হয়েছিল এবং সম্ভাব্য দুর্বলতার জন্য ইনস্টল করা মডিউলগুলি পর্যালোচনা করতেও উত্সাহিত করা হয়।

প্যাচটি কীভাবে প্রয়োগ করা যায় সে সম্পর্কে কিছু অন্তর্দৃষ্টি পেতে আমি এই পোস্টটি খুলি। প্যাচ প্রয়োগের পদক্ষেপগুলি কী কী? আমার বোঝার জন্য এই পদক্ষেপগুলি:

  1. অ্যাডমিনের কার্যকারিতা সহ মডিউলগুলি অ্যাডমিন URL এর আওতায় নয় Fix
  2. ক্ষেত্রের নাম বা পালানোর ক্ষেত্র হিসাবে এসকিউএল স্টেটমেন্ট ব্যবহার করে এমন মডিউলগুলি ঠিক করুন
  3. হোয়াইট তালিকা ব্লক বা নির্দেশাবলী যা ভেরিয়েবলগুলি {{config path=”web/unsecure/base_url”}}এবং এর মতো ব্যবহার করে{{bloc type=rss/order_new}}
  4. কাস্টম অপশন ফাইল প্রকারের সাথে সম্ভাব্য শোষণকে সম্বোধন করা (এটি কীভাবে করবেন তা জানেন না)
  5. প্যাচ প্রয়োগ করুন

এটা কি সঠিক পদ্ধতি?

admin  security  patches  supee-6788 
lloiacono
সূত্র
1
বর্তমান তালিকাভুক্ত সিই সংস্করণগুলি 1.7.0.0 থেকে 1.9.2.0 এর মাধ্যমে
ফায়াসকো ল্যাবগুলি
5
প্যাচ .htaccess.sampleপাশাপাশি পরিবর্তন হয় .htaccess। বেশিরভাগ দোকানে পরেরটি কাস্টমাইজ করা হয়েছে, এটি প্যাচটিকে ব্যর্থ করে দেবে => আপনাকে সাময়িকভাবে এটিকে ম্যাজেন্টো থেকে মূল ফাইলের সাথে প্রতিস্থাপন করতে হবে, প্যাচটি প্রয়োগ করতে হবে, আপনার নিজের .htaccess পুনরুদ্ধার করতে হবে এবং সেই পরিবর্তনটি প্রয়োগ করতে হবে যা cron.phpম্যানুয়ালি অ্যাক্সেস রক্ষা করবে (ডন ' অবশ্যই এই প্রক্রিয়াটির জন্য প্রডাকশন সিস্টেমটি ব্যবহার করুন!)
ফ্যাবিয়ান শেমংলার ২
1
তাদের nginx ব্যবহার সম্পর্কে কি?
lloiacono
4
আমি এই প্রশ্নটিকে অফ-টপিক হিসাবে বন্ধ করতে ভোট দিচ্ছি কারণ কোনও প্রশ্ন নেই। দয়া করে আলোচনাগুলিতে চ্যাটের
7 ই
2
পোস্টটির খুব শিরোনামে একটি প্রশ্ন রয়েছে, শেষ অনুচ্ছেদেও আমি আরও নির্দিষ্ট করছি। তা নির্বিশেষে, সদ্য প্রকাশিত প্যাচ প্রয়োগ করার সময় এই ধরণের পোস্টটি আমার মতে মন্তব্য এবং সর্বোত্তম অনুশীলনকে কেন্দ্রিয় করে তোলার জন্য খুব দরকারী।
lloiacono

উত্তর:

33

সাধারণভাবে, আপনি প্যাচটি পূর্ববর্তী সমস্ত হিসাবে প্রয়োগ করতে পারেন। কটাক্ষপাত আছে সরকারী ডকুমেন্টেশন এবং এই পরীক্ষা দঃপূঃ পোস্টে । তবে হ্যাঁ, এই প্যাচটি প্রয়োগ করার সময় কিছু অতিরিক্ত পয়েন্ট আপনার পরীক্ষা করা উচিত। বাইট / হাইপারনোড এ সম্পর্কে একটি দুর্দান্ত পোস্ট আছে।

  1. আপনার থিমের কোনও কাস্টম template/customer/form/register.phtmlবা কাস্টম রয়েছে কিনা তা পরীক্ষা করুন template/persistent/customer/form/register.phtml। যদি এটি হয় তবে নিশ্চিত হয়ে নিন যে এতে ক form_key
  2. আপনার থিমের একটি প্রথা আছে কিনা তা পরীক্ষা করুন layout/customer.xml। যদি এটি হয় তবে প্যাচ থেকে প্রয়োজনীয় পরিবর্তনগুলি প্রয়োগ করতে ভুলবেন না ( customer_account_resetpasswordএতে পরিবর্তন করা হয়েছে customer_account_changeforgotten)।
  3. আপনি কি সিএমএস পৃষ্ঠাগুলি, স্ট্যাটিক ব্লক বা ইমেল টেম্পলেটগুলিতে অ-মানক ভেরিয়েবল ব্যবহার করেন? তারপরে নিশ্চিত হয়ে নিন যে আপনি সেগুলি হোয়াইটলিস্ট করেছেন। ভেরিয়েবল / ব্লকগুলি কীভাবে শ্বেতলিস্ট করতে হয় তা জানতে এই এসই প্রশ্নটি দেখুন ।
  4. আপনি কি cron.phpএইচটিটিপি দিয়ে চালাচ্ছেন ? আপনি আরও ভাল ব্যবহার নিশ্চিত করুন cron.sh। যদি এটি সম্ভব না হয় তবে কমপক্ষে নিশ্চিত হয়ে নিন যে আপনি সিএলআই পিএইচপি এর মাধ্যমে ক্রোন.এফপি কল করেছেন। যদি কোনও কারণে আপনি প্রকৃত ক্রোনজব কনফিগার করতে না পারেন এবং এটি HTTP এর মাধ্যমে চালানোর প্রয়োজন হয় তবে এই এসই প্রশ্নটি দেখুন
  5. আপনার সমস্ত এক্সটেনশান "নতুন" অ্যাডমিন রাউটিং ব্যবহার করে তা নিশ্চিত করুন। আপনি এই n98-magerun প্লাগইনটি চেক করতে ব্যবহার করতে পারেন । আপনি এই সিএলআই স্ক্রিপ্টটিও ব্যবহার করতে পারেন । আপনি এই সম্পর্কিত এসই প্রশ্নটি একবার দেখতে পারেন
    1. যখন আপনার সমস্ত এক্সটেনশান যথাযথ অ্যাডমিন রাউটিং ব্যবহার করে, তখন সিস্টেম - কনফিগারেশন - প্রশাসন - সুরক্ষা অধীনে "অ্যাডমিন রাউটিং সামঞ্জস্যতা মোড সক্ষম করুন" অক্ষম করার বিষয়টি নিশ্চিত করুন।
  6. আপনি যদি এম 2 ইপ্রো ব্যবহার করেন তবে পুরানো সংস্করণগুলি নতুন প্যাচটির সাথে কাজ করে না বলে এটি সর্বশেষতম সংস্করণে আপডেট করুন।

আপডেট করার সময়, নিশ্চিত হয়ে নিন যে আপনি ফাইলটি মুছে ফেলেছেন dev/tests/functional/.htaccess। এটি আর ম্যাজেন্টো ১.৯.২.২ তে উপস্থিত নেই। এটি বজায় রাখার অর্থ আপনি এখনও দুর্বল।

যাই হোক না কেন, সবকিছু ঠিকঠাক হয়েছে কিনা তা আপডেট করার পরে আপডেট করার পরে আপনার পৃষ্ঠাটি ম্যাগেরপোর্টের সাথে চেক করুন ।

পাইওটরের একটি প্রযুক্তিগত ব্লগ পোস্টও রয়েছে , যা সমালোচনামূলক পরিবর্তনগুলি বর্ণনা করে।

সাইমন
সূত্র
কেবলমাত্র একটি সামান্য নোট, সিএলআই স্ক্রিপ্টটিতে 'সমস্ত যাচাই করা যাচাই করা উচিত, তারপরে প্রশাসক নিয়ামক সামঞ্জস্যতা মোড অক্ষম করুন' উল্লেখ করে। আমি এটি সক্ষম করার জন্য তাদের বিপরীত অর্থ বলে মনে করি। এটা কি সঠিক?
মাইকেল 11
1
@ কাসকা আপনার সমস্ত এক্সটেনশান ঠিকঠাক থাকলে আপনাকে সামঞ্জস্যতা মোড অক্ষম করতে হবে।
সাইমন
উত্পাদনের পরিবেশে আপনি কি সম্পূর্ণরূপে / দেবকে সরাবেন না?
paj
1
@ পজ তাত্ত্বিকভাবে হ্যাঁ। তবে সংস্করণ ১.৯.২.২ সহ এটি একটি htaccess দ্বারা সুরক্ষিত, সুতরাং এটি রাখা ঠিক হবে should উপরে আমার .htaccess পরামর্শ অনুসরণ করে তা নিশ্চিত করুন।
সাইমন
সম্পূর্ণতার জন্য আপনাকে ধন্যবাদ, তাদের পরের বার কনডেন্সড রিলিজ নোটগুলি লিখতে দেওয়া উচিত! সুপার সহায়ক!
আশেরার্ড
6

একটি চেক ফাইল রয়েছে যা আপনাকে সমস্যাগুলি সনাক্ত করতে সহায়তা করে: https://github.com/gaiterjones/magento-appsec-file-check

আমি এটি থেকে একটি সি এল এল স্ক্রিপ্ট তৈরি করেছি। https://github.com/Schrank/magento-appsec-file-check

ফ্যাবিয়ান ব্ল্যাচসমিড্ট
সূত্র
3

এনগিনেক্সের জন্য, নিশ্চিত হয়ে নিন যে আপনি ক্রোন.এফপি এবং ডেভ ফোল্ডারে অ্যাক্সেস আটকে রেখেছেন। আমরা এই ব্লকটি ব্যবহার করি:

location ~ ^/(app|includes|media/downloadable|pkginfo|report/config.xml|var|magmi|cron.php|dev)/? { deny all; }
অ্যাডাম এল।
সূত্র
আপনার রেজেক্স কাজ করবে না, কারণ আপনি কেবল ডিরেক্টরি বিরুদ্ধে পরীক্ষা করতে পারেন,। সুতরাং "রিপোর্ট / কনফিগার.এক্সএমএল, ক্রোন.এফপি" মেলে না, এবং আপনার শেষে একটি উল্লম্ব বার বা পাইপ প্রতীক আছে .. অনুলিপি-পেস্ট? / অ্যাপ / এর সাথে একসাথে রিজেক্স করবেন না, আপনি যদি কোনও কিছু ভুল করে রাখেন তবে তা হ্যাক হয়ে যাবে।
MagenX
খারাপ কপি এবং পেস্ট কাজ, দুঃখিত। যোগ হয়েছে? শেষের দিকে তাই পিছনের স্ল্যাশ alচ্ছিক। এটি এখনই পরীক্ষিত এবং এটি যেমনটি করা উচিত তেমন কাজ করছে।
অ্যাডাম এল।
এছাড়াও এই রেজেক্সটি ঝুঁকিপূর্ণ, আপনার কাছে ^ /, নিশ্চিত হয়ে নিন যে আপনি আপনার উত্স ফাইলগুলি / ওল্ড /, / আপগ্রেড / ইত্যাদি শীর্ষ ফোল্ডারে অনুলিপি করছেন না
MagenX
@ ম্যাজেনএক্স তাই আপনি বলছেন যে আপনি যদি সংস্করণ নিয়ন্ত্রণ বা স্ট্যান্ডার্ড সিস্টেম অ্যাডমিনিস্ট্রেশন বিসিপি না ব্যবহার করেন তবে এই রেজেক্স দোষী?
মেলভিন
1

আমি মাত্র আমার 1.10.1 EE এ প্যাচটি প্রয়োগ করেছি এবং এটি নেটিভ স্ক্রিনে পার্শ্ব প্রতিক্রিয়া সৃষ্টি করে কারণ মূলটি অ্যাপসাইক -1063 নয়:

উদাহরণ:

মধ্যে app/code/core/Mage/Customer/Model/Entity/Attribute/Collection.php

আপনি দুটি addFieldToFilterকল কল করতে পারেন অ্যাপ্লিকেশন -1063 অনুসারে নয়।

এটি গ্রাহক> অ্যাট্রিবিউট গ্রিডগুলি ভঙ্গ করছে, সুতরাং আপনাকে অ্যাপ্লিকেশন -1063 বিভাগে পিডিএফ "SUPEE-6788- প্রযুক্তিগত% 20 বিবরণ% 20.pdf" সুপারিশ করার কৌশলটি ব্যবহার করে আপনাকে প্যাচটি প্যাচ করতে হবে so

বেশ কয়েকটি পরিবর্তন করা হচ্ছে

    $this->addFieldToFilter($field, 0);

(যেখানে $ ক্ষেত্রটিতে জটিল রয়েছে (CASE .. যখন তখন ...) বর্গ স্টেটমেন্ট)

মধ্যে 

    $resultCondition = $this->_getConditionSql($field, 0);
    $this->_select->where($resultCondition);

উভয়ই রুহরের সুপি-6788৮৮-টুলবক্স এবং গাইটারজোনস 'এই ধরণের সমস্যা সনাক্ত করতে পারেনি, আমি অন্য সমস্তগুলিকে>> অ্যাডফিল্ডটোফিল্টার (checked এবং অন্য কোনওটিই সমস্যাটির কারণ হিসাবে দেখায় না checked

অন্যান্য প্রভাবিত 1.10 কোর ফাইল: (rhoerr এর supee-6788- সরঞ্জামবাক্স দ্বারা পাওয়া)

app/code/core/Mage/Bundle/Model/Mysql4/Option/Collection.php

আরও থাকতে পারে।

থেঁত
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.