Выпущен новый патч Magento 1, SUPEE-10415 .
Этот патч обеспечивает защиту от нескольких типов проблем, связанных с безопасностью
Информационная страница: https://magento.com/security/patches/supee-10415
Страница загрузки: https://magento.com/tech-resources/download
Какие возможные проблемы следует остерегаться?
Также, пожалуйста, поделитесь всеми ошибками и проблемами, которые вы обнаружили после установки патча.
Проблема с применением SUPEE-10415 на ванили 1.9.1.1 , показывает , не может быть применена в связи с сообщением об ошибке ломтя на image.php . РЕДАКТИРОВАТЬ: С 7 декабря 2017 года исправление предоставляется в SUPEE-10497
Должен быть установлен 8788 Версии 2 , иначе будут отображаться ошибки «Неподдерживаемый тип данных». Больше информации.
- «404: страница не найдена» из каталога ошибок / после обновления до SUPEE-10415. Эта проблема возникает только в установках Magento, которые запускают определенные сторонние расширения.
Обходной путь: Убедитесь, что нет предупреждений PHP, генерируемых какими-либо расширениями или настройками.
источник
Ответы:
Приведенные ниже файлы обновляются / добавляются после примененного патча SUPEE - 10415.
Некоторые важные моменты:
1) Разрешенные расширения файлов: log, txt, html, csv. проверьте ниже файлы
2) Максимальная длина пароля - 256 символов, проверка в
app/code/core/Mage/Customer/Model/Customer.php
файлеДля EE Edition добавлены четыре дополнительных файла
Некоторые важные моменты в EE
Добавлено условие в файлы ниже
Пожалуйста, обновите условие ниже в ваших файлах темы.
За дополнительной информацией:
https://magento.com/security/patches/supee-10415 http://devdocs.magento.com/guides/m1x/ce19-ee114/ee1.14_release-notes.html#ee114-11436 http: // devdocs. magento.com/guides/m1x/ce19-ee114/ce1.9_release-notes.html#ce19-1936
источник
SUPEE-10415 ...
Решает некоторые проблемы XSS в админ-панели в следующих областях:
Ограничение расширений файлов, которые можно использовать для файлов системы и журналов исключений. Допустимые расширения файлов:
.log
,.txt
,.html
,.csv
Устанавливает верхний предел в 256 символов для паролей учетных записей клиентов. Это конкретное изменение смешно; не уверен, откуда они взяли эту яркую идею.
Похоже, что ни одно из этих изменений не является массовым нарушением или несовместимостью с изменениями, кроме, возможно, ограничения длины пароля пользователя.
источник
SUPEE 10415 Требуется патч 8788 v2
Я столкнулся с той же ошибкой, что и в предыдущем посте, но, похоже, она была удалена.
Я обнаружил вышеуказанную ошибку при установке нового патча на M 1.8.00 CE. Похоже, что конкретная причина заключается в том, что в патче v2 8788 мы исправили вручную большинство проблем из этого патча, но мы пропустили несериализованные части.
Вместо того, чтобы отменить патч, я вручную внес изменения и теперь сайт работает нормально.
Ниже вы найдете код для патча 8788
Вы также можете прочитать больше об ошибке из этого поста . РЕШЕНО: новый класс Unserialize_Parser генерирует исключения для значений NULL.
источник
У нас возникла проблема с этим патчем, когда на каждой странице сайта появилась ошибка «404: Страница не найдена» из
errors/
каталога. После небольшого копания выясняется, что это было вызвано предупреждением PHPMage_Core_Model_App::init
, которое вызываетсяMage_Core_Model_Store_Exception
в следующих строках патча:mageCoreErrorHandler()
, которое вызываетMage::log()
запись сообщения в файл журнала.Mage::log()
звонкиMage::helper('log')
Mage_Log_Helper_Data::__construct
звонкиMage::getStoreConfig()
, которые звонятMage::app()->getStore()
, но магазины еще не были инициализированы иMage_Core_Model_Store_Exception
выбрасываетсяapp/Mage.php:647
ловит исключение и возвращает страницу 404Не совсем уверен, что решение пока, кроме исправления предупреждения и / или перехвата исключения при проверке расширения файла журнала. Собираюсь сообщить об этом Magento, чтобы увидеть, что они думают.
источник
__construct()
методаMage_Log_Helper_Data
, поэтому не пострадают от этого, но как в последних версиях сообщества, так и в корпоративных версиях.1.Решено: проблема с неверным секретным ключом, когда пользователь загружает администратора
В этих патчах Magento больше не отображает
“Invalid Secret Key. Please refresh the page.” message when a user loads the Admin
.Изменяя код в
app/code/core/Mage/Adminhtml/Controller/Action.php
Строгий пароль для всех клиентов до MAX 256:
Мы уже знаем, что минимальная длина пароля magento 1.x составляет 6 .
но в этом патче magento ограничивает максимальную длину 256.
В этом случае, Magento сделал изменения на функции от
validate()
от модели Customer класса .so, если кто -то имеет переопределить класс и переопределить то они должны добавить ниже код наthat override class
Добавьте
$this->escapeHtml()
и Mage :: helper ('core') -> quoteEscape () для некоторых файлов, где возможна атака XSSЕсли кто-то переопределяет эти файлы, вам следует добавить приведенный ниже код для переопределения класса переопределения 1.app/code/core/Mage/Adminhtml/Block/Report/Review/Detail.php
замещать
с
2.app/code/core/Mage/Adminhtml/Block/Report/Tag/Product/Detail.php
замещать
с
3.app/code/core/Mage/Adminhtml/Block/Review/Edit/Form.php
замещать
с
замещать
с
замещать
с
замещать
с
источник
Если вы уже применили SUPEE-10358 ^ или вручную исправили проблему
app/code/core/Mage/Adminhtml/Controller/Action.php
« Неверный секретный ключ », то вам нужно будет вручную удалить этот раздел из файла исправления:Кроме того, если вы уже исправили опечатку " new-pawwsord " (представленную в SUPEE-10266),
app/design/adminhtml/default/default/template/backup/dialogs.phtml
то удалите этот раздел и из патча:^ MageSupport предоставил SUPEE-10358 в ответ на запрос поддержки EE, касающийся проблемы InvalidSecretKey
источник
Проблема: патч не работает на vanilla 1.9.1.1
Редактировать 1: исправление добавлено ниже.
Редактировать 2: мое исправление больше не требуется, Magento предоставил SUPEE-10497 который эту проблему.
Проблема:
Ванильный Magento 1.9.1.1 был загружен с https://github.com/OpenMage/magento-mirror/archive/1.9.1.1.tar.gz
Ранее примененные патчи к этому Magento 1.9.1.1:
Официальное исправление для патча SUPEE-10415 для 1.9.1.1:
SUPEE-10266
:Восстановите его, используя:
./PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh --revert
SUPEE-10415
:верните его, используя
./PATCH_SUPEE-10415_CE_1.9.1.1_v1-2017-11-27-05-47-08.sh --revert
Ручное исправление для патча SUPEE-10415 для 1.9.1.1 [устарело]:
Отредактируйте файл
PATCH_SUPEE-10415_CE_1.9.1.1_v1-2017-11-27-05-47-08.sh
, замените строки445
-447
.Старый:
Новое:
источник
app/code/core/Mage/Core/Model/File/Validator/Image.php
. Патч SUPEE-10415, по-видимому, не учитывает изменения, внесенные Патчем SUPEE-9767 (v1 или v2)Вот полный журнал изменений и что я понимаю с этим журналом изменений
И на какие файлы повлияла причина, указанная ниже
Escape Html change
файл
Добавьте DS вместо '/'
добавлен новый файл
Полный файл изменений
Приложение / код / ядро / Mage / Adminhtml / модель / System / Config / Backend / Filename.php
Добавлены методы getCacheId () и getServiceUrl ()
Добавлен метод unserialize ()
Используйте метод getServiceUrl (), созданный в app / code / core / Mage / Api / Helper / Data.php
Используйте метод getCacheId (), созданный в app / code / core / Mage / Api / Helper / Data.php
Использованный выше
unserialize()
метод создан в app / code / core / Mage / Core / Helper / String.phpИзменение комментария
Комментарий добавлен
Добавлена максимальная длина пароля
Добавлено расширение разрешенного файла // $ _ allowFileExtensions = array ('log', 'txt', 'html', 'csv');
Не знаю, что изменить
Список вопросов
SUPEE-10415 предотвращает контроль корзины
получить код ошибки # 10415 в PayPal в Magento
источник
Попытка сделать это на Magento EE 1.13.0.2, и кажется, что этот патч не работает, если установлен SUPEE-6482.
SUPEE-6482 изменил строку с
$phpAuthUser
наисточник
$phpAuthUser
линия отличалась от расстояния до того,->setUseSession(false);
также было неверно