Патчи безопасности Magento: SUPEE-5994, SUPEE-5344, SUPEE-1533 (Shoplift)

- E-Commerce

Magento critical security patches

Shoplift – это новая страшная для пользователей Magento угроза. Новый баг позволяет хакерам получать полный доступ к магазинам электронной коммерции (e-commerce). Угрозу выявила комманда Check Point, за что ее участникам стоит выразить особую благодарность. К счастью, проблему можно пофиксить при помощи патча SUPEE-5344. Так как большинство Magento магазинов все еще остаются уязвимыми, мы настоятельно рекомендуем вам ознакомиться с содержанием данного поста, возможно, ваш бизнес находится под угрозой, но с нами вы сможете в считанные минуты восстановить прежнюю безопасность.

UPD (15.05.15): SUPEE-5994

Неофициальное, но надежное зеркало от FireGento со всеми обновлениями для Magento CE 1.7 – 1.9 (включая патчи SUPEE-5994, SUPEE-5344, SUPEE-1533)

Официальное руководство по установке патчей

'

SUPEE-5994

Команда Magento выпустила новый патч – SUPEE-5994. Предназначен он для того, чтобы пофиксить ряд проблем, связанных с безопасностью вашего магазина электронной коммерции.

К сожалению, проблема затронула все версии Magento CE, так что установить SUPEE-5994 необходимо прямо сейчас.

Патч SUPEE-5994 нужно установить строго после SUPEE-5344 – Shoplift патча.

Кликнув на ссылку вы сможете загруить SUPEE-5994. доступен он для CE 1.4.1– 1.9.1.1.

Отметьте себе, что начинать работу с патчем необходимо в тестовом варианте – не пытайтесь применить его для работающего магазина. Протестируйте патч в экспеременатльной среде, если все нормально – сделайте бекап сайта, и только потом устанавливайте обновление.

___________________________________

Тысячи магазинов не получают обновления лишь по той причине, что их владельцы не уведомлены о проблеме. Будучи активными участниками сообщества Magento, мы всегда стараемся позаботиться о наших соседях по косистеме. Собственно, это и стало причиной написания данного поста. Надеемся, что в свою очередь вы также позаботитесь о распространении данной информации среди сообществаMagento.

В первую очередь советуем ознакомиться с содержимым этой ссылки – https://shoplift.byte.nl/ – тут вы найдете всю информацию о проблемеб включая статистические данные. Следующее видео расскажет о такой проблоеме как Magento Remote Code Execution (RCE) Vulnerability

Данная ссылка поможет определеить, уязвим ли ваш Magento магазин: http://magento.com/security-patch

Хорошая новость заключается в том, что в Magento 1.9.1.1 уже есть все патчи, кроме SUPEE-5994. Так что пофиксить Shoplift баг можно очень просто: обновите сайт до последней версии. Вот вам несколько полезных ссылок:

  1. https://www.demacmedia.com/magento-commerce/magento-upgrade-guide/

  2. http://www.magentocommerce.com/wiki/1_-_installation_and_configuration/manual_upgrade_using_fresh_install_and_original_database

  3. https://blog.amasty.com/how-to-upgrade-magento-version/

А вот советы о том, как пропатчить другие версии Magento:

И еще:

Хотите узнать, как устанавливать патчи без SSH и использовать Core Diffs вместо этого? В таком случае смотрите тут: http://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

А также:

А это соответствующая страничка на Magento Stack Exchange. Решение всех проблемы вы найдете здесь.

Отчеты о хакнутых Magento магазинах/ Проверяем, взломан ли Magento сайт

По ссылкам ниже вы найдете ряд отчетов о взломанных Magento сайтах. Данной информации будет достаточно для того, чтобы понять, все ли нормально с вашим магазином электронной коммерции. Кроме того, там имеются советы касательно того, как себя вести, если сайт взломан после установки патчей.

Возможноые проблемы, которые возникают после установки патчей. Их устранение

Некоторые старые верси Magento (а именно 1.7.x и 1.8.x) испытывают проблемы во время установки патчей. Поэтому мы настоятельно рекоммендуем ван не начинать никаких установок без предварительного создания резервных копий.

Hunk # FAILED

Hunk # FAILED – В большинстве случаев эта проблема возникает из-за того, что версия патча не подходит для текущей версии Magento магазина, или же что-то не так с сервером. По следующим ссылкам вы найдете все необходимые советы по решению данной проблемы.

К сожалению, данная проблема может возникать и при правильном соотношении версий патча и сайта, но в случае с Magento 1.8.x. Для устранения неполадки придется прибегнуть к установке патчей вручную. И не забудьте про бекап!

Fatal error: Class Varien_Db_Adapter_Pdo_Mysql

Fatal error: Class Varien_Db_Adapter_Pdo_Mysql содержит абстрактные методы, поэтому без декларирования тут не обойтись. Проблема зарактерна для старых версий Magento (1.7.x) Даже в том случае, если вы используете правильный патч. В данной ситуации стоит попробовать заменить lib/Varien/Db/Adapter/Pdo/Mysql.php файлом из патча для более поздней версии Magento платформы, например, 1.8-1.9. По ссылке ниже вы сможете загрузить необходимый файл

Также стоит посетить официальный Magento форум. Там вы всегда сможете найти множество полезной информации касательно патчей и обновлений:

Информация, которая поможет предотвратить взлом Magento сайта

Class ‘Mage_Install_Controller_Router_Install’ not found

SUPEE-5994 Patch installation error (fails on lib/PEAR/)

Если вы удалили /downloader, то можете воспользоваться патчем Magento Security Patch SUPEE-5994 (Magento CE 1.6 – 1.9 / EE 1.11 – 1.14)

Как проверить последнюю установленную версию патча

Во-первых, нужен FTP доступ. Затем необходимо перейти в app/etc/ директорию. Там вы найдете applied.patches.list файл, который появляется после установки первого патча. Это diff файл, который и показывает изменения.

Но есть и более простой способ – Philwinkle_AppliedPatches Magento модуль. Информация о патчах с ним доступня прямиком в админке. Philwinkle_AppliedPatches модуль также работает с applied.patches.list файлом, но делает это в автоматическом режиме.

SUPEE-5994, SUPEE-5344, SUPEE-1533 patches

Проверяем последнюю версию патча

Philwinkle_AppliedPatches on GitHub

Как установить Magento со всеми патчами безопасности, используя для этого Composer:

Если у вас возникли проблемы при установке Magento патчей, или же вы не можете найти ответы на интересующие вас вопросы, то напишите об этом в комментариях – мы постараемся помочь.

'