SUPEE-10888 - это новое исправление безопасности для Magento 1, которое устраняет 12 проблем безопасности.

https://magento.com/security/patches/supee-10888

SUPEE-10888, Magento Commerce 1.14.3.10 и Open Source 1.9.3.10 содержат множество улучшений безопасности, которые помогают закрыть межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF) и другие уязвимости.

Патч можно найти по адресу https://magento.com/tech-resources/download#download2243.

Какие распространенные проблемы вы должны остерегаться при применении этого патча?

Ниже файлы были изменены / созданы после применения патча

app/code/core/Mage/Admin/Model/User.php 
app/code/core/Mage/Admin/etc/config.xml 
app/code/core/Mage/Adminhtml/Block/Catalog/Product/Edit/Tab/Super/Config.php 
app/code/core/Mage/Adminhtml/Block/Widget/Grid/Massaction/Abstract.php 
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php 
app/code/core/Mage/Adminhtml/controllers/Catalog/ProductController.php 
app/code/core/Mage/Adminhtml/controllers/Permissions/UserController.php 
app/code/core/Mage/Adminhtml/etc/config.xml 
app/code/core/Mage/Checkout/Model/Api/Resource/Customer.php 
app/code/core/Mage/Checkout/Model/Type/Onepage.php 
app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php 
app/code/core/Mage/Core/etc/config.xml 
app/code/core/Mage/Core/etc/system.xml 
app/code/core/Mage/Customer/Helper/Data.php 
app/code/core/Mage/Customer/Model/Customer.php 
app/code/core/Mage/Customer/Model/Resource/Customer.php 
app/code/core/Mage/Customer/controllers/AccountController.php 
app/code/core/Mage/Customer/etc/config.xml app/code/core/Mage/Customer/etc/config.xml
app/code/core/Mage/Customer/sql/customer_setup/upgrade-1.6.2.0.6.1.1-1.6.2.0.6.1.2.php 
app/code/core/Mage/Paypal/Model/Express/Checkout.php 
app/code/core/Mage/XmlConnect/controllers/ReviewController.php 
app/code/core/Zend/Filter/PregReplace.php app/code/core/Zend/Filter/PregReplace.php
app/design/adminhtml/default/default/template/bundle/product/edit/bundle/option.phtml 
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/create/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/invoice/create/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/invoice/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/order/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/shipment/create/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/shipment/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/catalog/product/helper/gallery.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/base/default/template/bundle/sales/order/creditmemo/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/invoice/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/shipment/items/renderer.phtml 
app/design/frontend/base/default/template/downloadable/checkout/multishipping/item/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/order/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/items/renderer/downloadable.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/order/downloadable.phtml 
app/locale/en_US/Mage_Adminhtml.csv app/locale/en_US/Mage_Adminhtml.csv
app/locale/en_US/Mage_Customer.csv app/locale/en_US/Mage_Customer.csv
app/locale/en_US/template/email/account_password_reset_confirmation.html 
app/locale/en_US/template/email/admin_new_user_notification.html 
downloader/Maged/Controller.php downloader/Maged/Controller.php
skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg 

В оригинальных v1 патчах с 2018-09-18в имени файла:

File skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg: git binary diffs are not supported.

Magento исправила эту проблему, выпустив новые файлы патчей. Тем не менее, v1но с 2018-09-19в имени файла.

Проблема с патчем PATCH_SUPEE-10888_CE_v1.9.0.1_v1-2018-09-18-02-54-39.shна vanilla Magento 1.8.1.0, со всеми предыдущими установленными патчами:

can't find file to patch at input line 1019
Perhaps you used the wrong -p or --strip option?
The text leading up to this was:
--------------------------
|diff --git app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
|index b1ec5eb0460..ca3e8b32474 100644
|--- app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
|+++ app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
--------------------------

На самом деле файл app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtmlне существует в 1.8.1.0, поэтому я удалил это изменение из файла патча.

Мне не удалось сделать это с обновленной 2018-09-19версией патча. Только успешно с файлом PATCH_SUPEE-10888_CE_v1.8.1.0_v1-2018-09-18-02-54-39после удаления thumbnail.jpgизменений, как описано в моем комментарии на /magento//a/242823/13642

Если вы используете пользовательскую тему и ваша тема переопределяет любой из приведенных ниже файлов, вам нужно добавить изменения в вашей теме вручную

app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/base/default/template/bundle/sales/order/creditmemo/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/invoice/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/shipment/items/renderer.phtml 
app/design/frontend/base/default/template/downloadable/checkout/multishipping/item/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/order/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/items/renderer/downloadable.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/order/downloadable.phtml 

например, если вы добавили

 app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml

в вашей теме, то вы должны сделать изменения вручную в

app/design/frontend/[YourPackge]/[YourTheme]/template/bundle/email/order/items/creditmemo/default.phtml

Например найти эти строки

$attributes['option_label']

и заменить на ниже

$this->escapeHtml($attributes['option_label']);

Как указано в /magento//a/243531/142 , вам необходимо проверить все файлы пользовательских шаблонов веб-интерфейса и вручную внести в них изменения из патча.

Кроме того, вам нужно проверить свой account_password_reset_confirmation.htmlпочтовый шаблон. В зависимости от вашего магазина, в разделе app/locale/[LANG]/template/email/или в бэкэнде в разделе Система> Транзакционные электронные письма для всех языков. Во всех соответствующих шаблонах вам нужно перейти _query_id=$customer.idна _query_id=$customer.rp_customer_id. Изменение было реализовано обратно совместимым образом, но если вы хотите включить все улучшения безопасности, вы не должны пропустить это изменение.

Сегодня утром я применил патч. Основные файлы находятся в бэкэнде Magento.

app/code/core/Mage/Admin/Model/User.php
app/code/core/Mage/Admin/etc/config.xml
app/code/core/Mage/Adminhtml/Block/Catalog/Product/Edit/Tab/Super/Config.php
app/code/core/Mage/Adminhtml/Block/Widget/Grid/Massaction/Abstract.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/Catalog/ProductController.php
app/code/core/Mage/Adminhtml/controllers/Permissions/UserController.php
app/code/core/Mage/Adminhtml/etc/config.xml
app/code/core/Mage/Checkout/Model/Api/Resource/Customer.php
app/code/core/Mage/Checkout/Model/Type/Onepage.php
app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Core/etc/system.xml
app/code/core/Mage/Customer/Helper/Data.php
app/code/core/Mage/Customer/Model/Customer.php
app/code/core/Mage/Customer/Model/Resource/Customer.php
app/code/core/Mage/Customer/controllers/AccountController.php
app/code/core/Mage/Customer/etc/config.xml
app/code/core/Mage/Customer/sql/customer_setup/upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php
app/code/core/Mage/Paypal/Model/Express/Checkout.php
app/code/core/Mage/XmlConnect/controllers/ReviewController.php
app/code/core/Zend/Filter/PregReplace.php
app/locale/en_US/Mage_Adminhtml.csv
app/locale/en_US/Mage_Customer.csv
app/locale/en_US/template/email/account_password_reset_confirmation.html
app/locale/en_US/template/email/admin_new_user_notification.html
downloader/Maged/Controller.php
skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg

Escapehtml добавленные файлы

app/design/adminhtml/default/default/template/bundle/product/edit/bundle/option.phtml
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/create/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/view/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/invoice/create/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/invoice/view/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/order/view/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/shipment/create/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/shipment/view/items/renderer.phtml
app/design/adminhtml/default/default/template/catalog/product/helper/gallery.phtml
app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml
app/design/frontend/base/default/template/bundle/email/order/items/invoice/default.phtml
app/design/frontend/base/default/template/bundle/email/order/items/order/default.phtml
app/design/frontend/base/default/template/bundle/email/order/items/shipment/default.phtml
app/design/frontend/base/default/template/bundle/sales/order/creditmemo/items/renderer.phtml
app/design/frontend/base/default/template/bundle/sales/order/invoice/items/renderer.phtml
app/design/frontend/base/default/template/bundle/sales/order/items/renderer.phtml
app/design/frontend/base/default/template/bundle/sales/order/shipment/items/renderer.phtml
app/design/frontend/base/default/template/downloadable/checkout/multishipping/item/downloadable.phtml
app/design/frontend/base/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml
app/design/frontend/base/default/template/downloadable/email/order/items/invoice/downloadable.phtml
app/design/frontend/base/default/template/downloadable/email/order/items/order/downloadable.phtml
app/design/frontend/base/default/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml
app/design/frontend/base/default/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/creditmemo/default.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/invoice/default.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/order/default.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/shipment/default.phtml
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
app/design/frontend/rwd/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml
app/design/frontend/rwd/default/template/downloadable/email/order/items/invoice/downloadable.phtml
app/design/frontend/rwd/default/template/downloadable/email/order/items/order/downloadable.phtml

В Magento Commerce добавлены файлы, отличные от указанных выше файлов:

app/code/core/Enterprise/GiftRegistry/Helper/Data.php
app/code/core/Enterprise/GiftRegistry/Model/Attribute/Processor.php
app/design/frontend/enterprise/default/template/cms/hierarchy/pagination.phtml
app/design/frontend/enterprise/iphone/template/bundle/sales/order/items/renderer.phtml
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/items/renderer/downloadable.phtml
app/design/frontend/rwd/enterprise/template/cms/hierarchy/pagination.phtml
app/design/frontend/rwd/enterprise/template/rma/return/view.phtml

У меня нет проблем до сих пор.

В Magento EE 1.13.1.0

Патч ищет неправильный файл (файл сообщества, я считаю).

Пришлось удалить эти строки из файла патча и применить. Это успешно применено.

Уведомили основную команду Magento, пока не получили обратной связи.

diff --git app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
index b3e997f59f3..f34c2bba6a2 100644
--- app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
+++ app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
@@ -43,7 +43,7 @@
     <?php $attributes = $this->getSelectionAttributes($_item) ?>
     <?php if ($_prevOptionId != $attributes['option_id']): ?>
     <tr class="bundle label<?php if($_item->getLastRow()): ?> last<?php endif; ?>">
-        <td><div class="option-label"><?php echo $attributes['option_label'] ?></div></td>
+        <td><div class="option-label"><?php echo $this->escapeHtml($attributes['option_label']); ?></div></td>
         <td data-rwd-label="SKU" class="lin-hide">&nbsp;</td>
         <td data-rwd-label="Price" class="lin-hide">&nbsp;</td>
         <td data-rwd-label="Qty" class="lin-hide">&nbsp;</td>

Форма сброса пароля больше не работает после установки патча на CE 1.7.0.2 со всеми предыдущими установленными патчами.

(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-18-03-00-22.sh)

РЕДАКТИРОВАТЬ:

Эта проблема больше не возникает после отмены исправления от 18 сентября (версия 1) и применения обновленного исправления от 19 сентября (версия 1) + обновление и очистка кэша magento.

(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-19-03-01-22.sh)

Спасибо, Робб за подсказку.

SUPEE-10752 был необходим для применения. Я также применил исправление совместимости PHP 7.2 и удалил исправление совместимости Inchoo_PHP7 перед установкой SUPEE-10888. Работал без проблем.

Magento CE 1.6.2.0

Следующая ошибка после применения патча при попытке сброса пароля учетной записи клиента на веб-интерфейсе.

Неустранимая ошибка: вызов функции-члена getBackend () для необъекта в app / code / core / Mage / Eav / Model / Entity / Abstract.php в строке 1536.

Оказывается, патч не запускал скрипт обновления SQL (app / code / core / Mage / Customer / sql / customer_setup / upgrade-1.6.1.0.1.2-1.6.1.0.1.3.php), который создал новый атрибут с именем rp_customer_id.

Убедитесь, что вы очистили Magento Cache, но, что более важно, если у вас включен кэш лаков, очистите его. После того как я отключил весь кеш и очистил кеш лака, скрипт SQL создал новый атрибут в базе данных.

Найдена небольшая опечатка в патче для 1.14.2.0 до 1.14.2.4

В файле app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtmlон по ошибке вносит следующие изменения:

<dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt>

вместо того

<dt><?php echo $this->escapeHtml($this->getLinksTitle()); ?></dt>

Вот разница для справки:

diff --git app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml index 6ed3cd9bfd4..f8b1573605a 100644 --- app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml +++ app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml @@ -55,7 +55,7 @@ <!-- downloadable --> <?php if ($links = $this->getLinks()): ?> <dl class="item-options"> - <dt><?php echo $this->getLinksTitle() ?></dt> + <dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt> <?php foreach ($links->getPurchasedItems() as $link): ?> <dd><?php echo $this->escapeHtml($link->getLinkTitle()); ?></dd> <?php endforeach; ?>

Существует опечатку внутри /app/code/core/Mage/Core/etc/system.xmlна <crate_admin_user_notification translate="label comment">это должно быть , <create_admin_user_notification translate="label comment">но это не нарушение , поскольку обычаи также пишутся неправильно вif(Mage::getStoreConfigFlag('admin/security/crate_admin_user_notification')

В настоящее время происходит сбой здесь на Magento CE 1.9.1.0.

patching file app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
Hunk #2 FAILED at 57.

Визуальная проверка исходных файлов подтверждает, что соответствующего кода там нет.

patching file app/code/core/Mage/Customer/controllers/AccountController.php
Hunk #3 FAILED at 845.

...

can't find file to patch at input line 600
Perhaps you used the wrong -p or --strip option?
The text leading up to this was:
--------------------------
|diff --git app/code/core/Zend/Filter/PregReplace.php app/code/core/Zend/Filter/PregReplace.php

Как указано, такого файла нет.

patching file app/design/adminhtml/default/default/template/bundle/product/edit/bundle/option.phtml
Hunk #1 FAILED at 209.

Просто FYI для пользователей EE, так как для этого патча требуется SUPEE-10752, вы можете столкнуться с тем, что некоторые сеансы были случайно отброшены или ваша касса перенаправляется на домашнюю страницу вместо страницы успеха.

Мы перешли к обычному процессу применения следующих исправлений в этом порядке:

1. SUPEE-10570v2 (PATCH_SUPEE-10570_EE_v1.14.2.4_v2-2018-03-22-10-57-00.sh)
2. SUPEE-10752 (PATCH_SUPEE-10752_EE_v1.14.2.4_v1-2018-06-25-09-53-38.sh)
3. SUPEE-10888 (PATCH_SUPEE-10888_EE_v1.14.2.4_v1-2018-09-19-03-07-06.sh)

Однако исправление SUPEE-10752 для EE содержит следующие изменения: приложение / код / ​​ядро ​​/ маг / ядро ​​/ модель / сессия / аннотация / Varien.php

+    const VALIDATOR_PASSWORD_CREATE_TIMESTAMP   = 'password_create_timestamp';


+    /**
+     * Use password creation timestamp in validator key
+     *
+     * @return bool
+     */
+    public function useValidateSessionPasswordTimestamp()
+    {
+        return true;
+    }


+        if ($this->useValidateSessionPasswordTimestamp()
+            && isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
+            && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
+            && $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
+            > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
+        ) {
+            return false;
+        }

Я должен был применить в последней части нижеперечисленный invalid_session_fix-2018-03-14-05-10-19.patch, который можно найти в https://magento.com/tech-resources/download в SUPEE-10570 > invalid_session_fix.patch (0 МБ)

diff --git a/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php b/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
index 59b3ea8..35155f1 100644
--- a/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
+++ b/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
@@ -485,7 +485,7 @@ class Mage_Core_Model_Session_Abstract_Varien extends Varien_Object
             && isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
             && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
             && $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
-            > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
+            > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP]
         ) {
             return false;
         }

Я видел проблему с несколькими клиентами, когда они звонят нам, что они не могут войти в систему и просмотреть свою учетную запись.

Адрес электронной почты и пароль верны - нет сообщения об ошибке входа в систему, страница просто перезагружается на домашнюю страницу или страницу входа, похоже, они не могут попасть в свою учетную запись! Это произошло после применения патча 10888, и мы применили 10752.

После копания я обнаружил в таблице customer_entity, и мне стало ясно, что у пострадавших клиентов есть метка времени created_dateПОСЛЕ updated_date. Я думаю, что так не должно быть, верно?

Поэтому, чтобы проверить, я изменил созданную дату до ДО обновленной даты, даже на одну минуту. Для некоторых пользователей только это помогло им вернуться в свои учетные записи. В то время как для других пользователей мне также пришлось обновить их пароль с помощью SQL, используя запрос:

update customer_entity_varchar set value = md5('123456') 
   where where entity_id = 105 /*enter customer's entity_id found in customer_entity */
   and attribute_id in 
      (select attribute_id from eav_attribute where attribute_code = 'password_hash' 
        and entity_type_id = 1);

Мне не нужно полностью исследовать изменения, которые SUPEE 10888 вносит в файлы ядра клиента, но с патчем определенно есть проблемы.

Более того, я не могу обновить пароль клиента через панель администратора, как обычно, при сохранении страницы возникает ошибка.

Использование 1.9.2.4

Я использую Magento 1.9.3.7. Ос это убунту. Версия PHP 7.0.

При попытке применить путь SUPPER-10888 получаю ошибку ниже.

Checking if a patch can be applied/reverted successfully...

ОШИБКА: исправление не может быть применено / отменено успешно.

проверка файла app / code / core / Mage / Admin / Model / User.php Hunk # 2 прошла успешно на 676 (смещение -20 строк). проверка файла приложения / code / core / Mage / Admin / etc / config.xml проверка файла приложения / code / core / Mage / Adminhtml / Block / Catalog / Product / Edit / Tab / Super / Config.php проверка файла приложения / code / core / Mage / Adminhtml / Block / Widget / Grid / Massaction / Abstract.php, проверяющий файл app / code / core / Mage / Adminhtml / Model / LayoutUpdate / Validator.php Блок № 2 не выполнен в 57. Блок № 3 успешно выполнен в 80 ( смещение -12 строк). Кусок № 4 преуспел в 115 с фаззом 2 (смещение -12 строк). Кусок № 5 преуспел в 139 с фазз 1 (смещение -21 строк). Стойка № 6 преуспела в 161 (смещение -21 строк). 1 из 6 блоков СБОЙ проверил файл приложения / code / core / Mage / Adminhtml / controllers / Catalogue / ProductController.php Блок 1 успешно завершен на 1020 (смещение -11 строк). проверка файла приложения / code / core / Mage / Adminhtml / controllers / Permissions / UserController.php проверка файла приложения / code / core / Mage / Adminhtml / etc / config.xml проверка файла приложения / code / core / Mage / Checkout / Model / Api / Resource / Customer.php Hunk # 1 преуспел на 151 с фазз 1 (смещение -1 строк). проверка файла app / code / core / Mage / Checkout / Model / Type / Onepage.php Блок 1 успешно завершен на 731 с фаззом 1 (смещение -3 строки). проверка файла приложения / кода / core / Mage / Cms / Model / Wysiwyg / Images / Storage.php проверка файла приложения / кода / core / Mage / Core / etc / config.xml проверка файла приложения / кода / core / Mage / Core / etc / system.xml проверяющий файл app / code / core / Mage / Customer / Helper / Data.php проверяющий файл app / code / core / Mage / Customer / Model / Customer.php проверяющий файл app / code / core / Mage / Customer /Model/Resource/Customer.php Ханк # 1 преуспел в 332 (смещение -1 строк). проверка файла app / code / core / Mage / Customer / controllers / AccountController.php Ханк №1 успешно завершен на 755 (смещение -1 строки). Стойка № 2 преуспела на 810 (смещение -1 строки). Блок № 3 не удалось на 871. Блок № 4 успешно на 883 (смещение -2 строки). 1 из 4 блоков СБОЙ проверил файл приложения / code / core / Mage / Customer / etc / config.xml Блок № 1, СБОЙ в 28. 1 из 1 блока СБОЙ проверил файл приложения / код / ​​core / Mage / Customer / sql / customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php, проверяющий файл app / code / core / Mage / Paypal / Model / Express / Checkout.php, проверяющий файл app / code / core / Mage / XmlConnect / controllers / ReviewController.php не может найти файл для исправления в строке ввода 600 Возможно, вы использовали неправильную опцию -p или --strip? Стойка № 4 преуспела в 883 (смещение -2 строки). 1 из 4 блоков СБОЙ проверил файл приложения / code / core / Mage / Customer / etc / config.xml Блок № 1, СБОЙ в 28. 1 из 1 блока СБОЙ проверил файл приложения / код / ​​core / Mage / Customer / sql / customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php, проверяющий файл app / code / core / Mage / Paypal / Model / Express / Checkout.php, проверяющий файл app / code / core / Mage / XmlConnect / controllers / ReviewController.php не может найти файл для исправления в строке ввода 600 Возможно, вы использовали неправильную опцию -p или --strip? Стойка № 4 преуспела в 883 (смещение -2 строки). 1 из 4 блоков СБОЙ проверил файл приложения / code / core / Mage / Customer / etc / config.xml Блок № 1, СБОЙ в 28. 1 из 1 блока СБОЙ проверил файл приложения / код / ​​core / Mage / Customer / sql / customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php, проверяющий файл app / code / core / Mage / Paypal / Model / Express / Checkout.php, проверяющий файл app / code / core / Mage / XmlConnect / controllers / ReviewController.php не может найти файл для исправления в строке ввода 600 Возможно, вы использовали неправильную опцию -p или --strip?

Текст, приведший к этому был:

| diff --git app / code / core / Zend / Filter / PregReplace.php app / code / core / Zend / Filter / PregReplace.php | index 586c0fe20a0..d6fa2dac0ec 100644 | --- app / code / core / Zend / Фильтр / PregReplace.php

| +++ app / code / core / Zend / Filter / PregReplace.php

Файл для патча: пропустить этот патч? [y] Пропуск патча. 2 из 2 блоков игнорируются, проверяя файл app / design / adminhtml / default / default / template / bundle / product / edit / bundle / option.phtml Блок # 1 НЕ УДАЛЕН на 209. 1 из 1 блок FAILED проверяет файл app / design / adminhtml / default / default / template / bundle / sales / creditmemo / create / items / renderer.phtml проверяющий файл app / design / adminhtml / default / default / template / bundle / sales / creditmemo / view / items / renderer.phtml проверочный файл app / design / adminhtml / default / default / template / bundle / sales / invoice / create / items / renderer.phtml проверочный файл app / design / adminhtml / default / default / template / bundle / sales / invoice / view / items / renderer .phtml проверяющий файл app / design / adminhtml / default / default / template / bundle / sales / order / view / items / renderer.

Есть идеи, чего не хватает?