Уязвимость в CMS Magento – как установить патч

Уязвимость в CMS Magento – как установить патч

Magento считается самой популярной CMS для интернет-магазинов, чем и привлекает внимание злоумышленников. Как и в любой другой CMS иногда находятся бреши в безопасности, что сразу привлекает к себе внимание недобросовестных хакеров. А разработчики Magento выпускают патчи, когда находят любую уязвимость в системе, чтобы повысить ее безопасность.

Так, недавно обнаружился эксплойт, который проворачивает единственную функцию: создает фальшивый аккаунт админа в базе данных Magento.
Команда Magento уже выпускала недавно патчи, которые борются с такими угрозами, но, как оказалось, не все владельцы интернет-магазинов на Мадженто установили их себе. Хотя 2 последних патча были выпущены еще несколько месяцев назад (26 ноября 2014 и 9 февраля 2015), большая масса магазинов не поставила их себе. По разным причинам: то ли не знали, то ли не умели. С первой причиной разработчики борются отправкой «страшных» напоминаний в админпанели сайтов (как на рисунке).

Напоминание Мадженто об обновлении
Напоминание Мадженто об обновлении

 

А со второй причиной мы попытаемся справиться в этом уроке. В любом случае, настоятельно рекомендуется устанавливать такие патчи как можно скорее, чтобы обезопасить свой интернет-магазин.

В подобных случаях разработчики либо выпускают новый релиз движка с уже вшитым патчем, либо выкладывают патч отдельно. И в том, и в другом случае, ищите их на официальной страничке обновлений: https://www.magentocommerce.com/products/downloads/magento/

Установку релиза Magento мы уже рассматривали, а в этом уроке отдельно разберем процедуру установки только патча.

Есть 3 способа установки патчей, либо с помощью SSH, через FTP (или админку на хостинге) или же заказать услуги специалиста. Некоторые хостинг-провайдеры не предоставляют доступ по SSH, но у нас есть и другой вариант, чтобы провернуть процедуру установки патча.

 

Рекомендуем перед подобными процедурами делать резервную копию всей системы и базы данных. Также, после обновлений – меняйте пароли на сайте.

 

 

 

Способ 1. Установка через SSH

Скачайте патч по этой ссылке и загрузите его в корневую директорию своего сайта на Magento и запустите соответствующую команду через консоль SSH:

Для патчей с расширением файла .sh:
sh имя_файла.sh

Пример: sh PATCH_SUPEE-1868_CE_1.7.0.2_v1.sh

Для патчей с расширением файла .patch:
patch -p0 < имя_файла.patch

После этого обновите кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.
Если у вас возникают трудности или вопросы при работе с SSH, смело обращайтесь в службу поддержки своего хостинга, она сможет вам в этом помочь.

 

 

Способ 2. Установить патч через FTP

Патчи – это набор файлов и инструкций, заархивированных определенными программами. В нашем случае патч содержит некие файлы, которые должны изменить/или дописать определенные файлы в движке Мадженто и запакованных в формате .sh/или .patch. Поскольку обычными (офисными) инструментами такие архивы нельзя открыть, мы попробуем найти уже разархивированные файлы. Мы нашли такие архивы, подготовленные командой MageComp, которые она выложила в свободный доступ здесь. Они подготовили файлы для патча PATCH_SUPEE-1533.sh и патча PATCH_SUPEE-5344.sh в формате .zip. Вы сможете скачать у них файлы патчей для версий Magento (1.6.xx), Magento (1.7.xx), Magento (1.8.xx — 1.9.1.0) и затем установить у себя.

Патч SUPEE-1533 изменяет следующие файлы в системе:

  • app/code/core/Mage/Adminhtml/Block/Dashboard/Graph.php
  • app/code/core/Mage/Adminhtml/controllers/DashboardController.php

 

А патч SUPEE-5344 изменяет такие файлы:

  • app/code/core/Mage/Admin/Model/Observer.php
  • app/code/core/Mage/Core/Controller/Request/Http.php
  • app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php
  • app/code/core/Mage/XmlConnect/Model/Observer.php
  • lib/Varien/Db/Adapter/Pdo/Mysql.php

 

Все, что вам нужно – это скачать данные патчи в фомате .zip, разархивировать у себя на компьютере, а затем скопировать с заменой по FTP на хостинг. После этого обновить кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.

 

 

Способ 3. Заказать такую услугу у специалиста

В сети Интернет можно найти специалистов по Мадженто, которые согласятся помочь вам в этом за определенную плату.

 

Мы считаем, что оптимальный вариант установки – через SSH, но если у вас это вызывает трудности, вы сможете использовать 2 других метода.
Обязательно обезопасьте свой магазин на Мадженто!

 

 

3 комментария для «Уязвимость в CMS Magento – как установить патч»

  1. droidmod-ru

    APPSEC-1270 — просмотр заказов для гостей имел уязвимость защитного кода. В свою очередь это может спровоцировать перебор заказов, и как результат вся информация о деятельности магазина может попасть в сторонние руки.

  2. Roman

    Являются ли эти патчи кумулятивными? Нужно ли устанавливать все патчи в порядке очередности или достаточно установить последний?

    1. ZAnatoly

      В основном такие патчи содержат все предыдущие наработки. Но, все же, рекомендую предварительно читать описание каждого патча во избежание ошибок.

Добавить комментарий для ZAnatoly Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *