Уязвимость в CMS Magento – как установить патч
Magento считается самой популярной CMS для интернет-магазинов, чем и привлекает внимание злоумышленников. Как и в любой другой CMS иногда находятся бреши в безопасности, что сразу привлекает к себе внимание недобросовестных хакеров. А разработчики Magento выпускают патчи, когда находят любую уязвимость в системе, чтобы повысить ее безопасность.
Так, недавно обнаружился эксплойт, который проворачивает единственную функцию: создает фальшивый аккаунт админа в базе данных Magento.
Команда Magento уже выпускала недавно патчи, которые борются с такими угрозами, но, как оказалось, не все владельцы интернет-магазинов на Мадженто установили их себе. Хотя 2 последних патча были выпущены еще несколько месяцев назад (26 ноября 2014 и 9 февраля 2015), большая масса магазинов не поставила их себе. По разным причинам: то ли не знали, то ли не умели. С первой причиной разработчики борются отправкой «страшных» напоминаний в админпанели сайтов (как на рисунке).
А со второй причиной мы попытаемся справиться в этом уроке. В любом случае, настоятельно рекомендуется устанавливать такие патчи как можно скорее, чтобы обезопасить свой интернет-магазин.
В подобных случаях разработчики либо выпускают новый релиз движка с уже вшитым патчем, либо выкладывают патч отдельно. И в том, и в другом случае, ищите их на официальной страничке обновлений: https://www.magentocommerce.com/products/downloads/magento/
Установку релиза Magento мы уже рассматривали, а в этом уроке отдельно разберем процедуру установки только патча.
Есть 3 способа установки патчей, либо с помощью SSH, через FTP (или админку на хостинге) или же заказать услуги специалиста. Некоторые хостинг-провайдеры не предоставляют доступ по SSH, но у нас есть и другой вариант, чтобы провернуть процедуру установки патча.
Способ 1. Установка через SSH
Скачайте патч по этой ссылке и загрузите его в корневую директорию своего сайта на Magento и запустите соответствующую команду через консоль SSH:
Для патчей с расширением файла .sh:
sh имя_файла.sh
Пример: sh PATCH_SUPEE-1868_CE_1.7.0.2_v1.sh
Для патчей с расширением файла .patch:
patch -p0 < имя_файла.patch
После этого обновите кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.
Если у вас возникают трудности или вопросы при работе с SSH, смело обращайтесь в службу поддержки своего хостинга, она сможет вам в этом помочь.
Способ 2. Установить патч через FTP
Патчи – это набор файлов и инструкций, заархивированных определенными программами. В нашем случае патч содержит некие файлы, которые должны изменить/или дописать определенные файлы в движке Мадженто и запакованных в формате .sh/или .patch. Поскольку обычными (офисными) инструментами такие архивы нельзя открыть, мы попробуем найти уже разархивированные файлы. Мы нашли такие архивы, подготовленные командой MageComp, которые она выложила в свободный доступ здесь. Они подготовили файлы для патча PATCH_SUPEE-1533.sh и патча PATCH_SUPEE-5344.sh в формате .zip. Вы сможете скачать у них файлы патчей для версий Magento (1.6.xx), Magento (1.7.xx), Magento (1.8.xx — 1.9.1.0) и затем установить у себя.
Патч SUPEE-1533 изменяет следующие файлы в системе:
- app/code/core/Mage/Adminhtml/Block/Dashboard/Graph.php
- app/code/core/Mage/Adminhtml/controllers/DashboardController.php
А патч SUPEE-5344 изменяет такие файлы:
- app/code/core/Mage/Admin/Model/Observer.php
- app/code/core/Mage/Core/Controller/Request/Http.php
- app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php
- app/code/core/Mage/XmlConnect/Model/Observer.php
- lib/Varien/Db/Adapter/Pdo/Mysql.php
Все, что вам нужно – это скачать данные патчи в фомате .zip, разархивировать у себя на компьютере, а затем скопировать с заменой по FTP на хостинг. После этого обновить кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.
Способ 3. Заказать такую услугу у специалиста
В сети Интернет можно найти специалистов по Мадженто, которые согласятся помочь вам в этом за определенную плату.
Мы считаем, что оптимальный вариант установки – через SSH, но если у вас это вызывает трудности, вы сможете использовать 2 других метода.
Обязательно обезопасьте свой магазин на Мадженто!
droidmod-ru
APPSEC-1270 — просмотр заказов для гостей имел уязвимость защитного кода. В свою очередь это может спровоцировать перебор заказов, и как результат вся информация о деятельности магазина может попасть в сторонние руки.
Roman
Являются ли эти патчи кумулятивными? Нужно ли устанавливать все патчи в порядке очередности или достаточно установить последний?
ZAnatoly
В основном такие патчи содержат все предыдущие наработки. Но, все же, рекомендую предварительно читать описание каждого патча во избежание ошибок.