Parche de seguridad crítica para Magento SUPEE-5994, SUPEE-5344, SUPEE-1533 (Shoplift)

Shoplift es un bug peligroso de Magento . El deja al hackers asumir el control total de su tienda e-commerce. La amenaza fue descubierta por Check Point. Usted puede simplemente arreglar eso con la ayuda del parche SUPEE-5344. Muchas tiendas son todavía vulnerables porque no han aplicado aún el parche. Debajo mostraremos como arreglar el problema.

UPD (15.05.15): SUPEE-5994

UPD (27.07.15): SUPEE-6285

Espejo (no oficial pero confiable) de la fuente de FireGento Magento con todos los parches críticos Magento CE 1.7 – 1.9 incluidos (SUPEE-5994, SUPEE-5344, SUPEE-1533)

Una guía oficial de la instalación del parche

SUPEE-6285

El parche SUPEE-6285 introduce un nuevo nivel de seguridad. El arregla un punto débil que hemos recentamente descubierto en Magento. Felizmente, no existen tiendas e-commerce que fueron atacadas por causa de este problema, pero esto no quiere decir que Usted puede posponer la instalación de SUPEE-6285. Coloque el parche inmediatamente y proporcionará un nivel de seguridad adicional.

En primero lugar, el parche SUPEE-6285 bloquea atacantes. Él les impide recibir un acceso a fuente de pedidos. Así, Usted poderá guardar datos personales. Además, el parche arregla un número de otors problemas de seguridad, por ejemplo Secuencias de órdenes y falsificación de petición en sitios cruzados, o vulnerabilidades relativas a errores de Revelación de ruta completa (Full Path Disclosure – FPD)

Em primeiro lugar, o patch SUPEE-6285 bloqueia atacantes. Ele impedi-los de receber um acesso a feed de solicitações de compra. Assim, você pode guardar dados pessoais. Além disso, o patch conserta um numero de outros problemas de segurança, por exemplo Cross-site scripting e Requisição fraudulenta entre site(Cross-site request forgery), ou vulnerabilidades relativos aos erros de descouberta de caminho (Full Path Disclosure) FPD.

El parche es disponible para Magento Enterprise Edition 1.9+ y Magento Community Edition 1.4.1-1.9.1.1.

Ya que SUPEE-6285 es una parte de Community Edition 1.9.2, Usted puede simplesmente arreglar todos los problemas de seguridad al actualizar su website e-commerce hasta la última versión de la plataforma. Segue el enlace para bajar Magento Community Edition 1.9.2.

 Por favor no olvide que SUPEE-6285 puede ser implementado sólo en el caso de que hubiese instalado SUPEE-5994 antes. Para verificar si todo funciona bien, primeramente use el ambiente de desarrollo.

Una lista completa de todos los arreglos de SUPEE-6285

• Filtración de informaciones del cliente vía RSS y “intensificación” de privilegios.
• Solicitación fraudulenta en Magento Connect lleva a la ejecución de código.
• Cross-site Scripting en lista de deseos
• Cross-site Scripting en Carrito
• Descubierta de las rutas de la Tienda (store path)
• Permisiones de los archivos de Log son muy amplas
• Cross-site Scripting en Admin
• Cross-site Scripting (Secuencias de órdenes en sitios cruzados) en RSS de pedidos

Ya que el archivo de SUPEE-6285 consiste más de 1,100 líneas de código, el proporciona muchos cambios. El parche incluye 350 adiciones y 100 remociones, por eso el parche contiene algunos requisitos y errores posibles. Usted puede encontrar los todos aquí.

Esto es una descripción detallada de SUPEE-6285. Si Usted no sabe como instalar el parche, segue esta instrucción.

No sabe si su versión de Magento necesita SUPEE-6285 o algún otro parche anterior? Usted puede verificarlo en una hoja de cálculo de requisito/compatibilidad, publicada por John Knowles. La hoja está disponible en Google Docs, y es dividida en dos partes. La primera parte relaciona a Magento Enterprise Edition, mientras la segunda nos muestra los requisitos y compatibilidades de Community Edition. Los dos proporcionan informaciones sobre todos los parches disponibles, sus fechas de lanzamiento, la compatibilidad con las otras versiones de la plataforma y la necesidad de la instalación. Usted puede encontrar la hoja de cálculo aquí.

Magento Security Patch List

Bajar  SUPEE-6285

Magento Security Alert Registry

Con Security Alert Registry, Magento introduce una nueva estrategia de seguridad. El nuevo servicio fue creado para informarle sobre todas las últimas vulnerabilidades. Rellena una forma y envia su pedido aquí para recibir las noticias más recientes relativas a la seguridad de Magento.

SUPEE-5994

Magento anunció un nuevo parche – SUPEE-5994. Está dirigido a corregir varios problemas de seguridad y otros bugs relacionados a la seguridad de su tienda e-commerce.

Todas las versiones de Magento CE están afectadas, por eso es necesario de instalar el parche SUPEE-5994 inmediatamente.

SUPEE-5994 tiene que ser instalado después de SUPEE-5344 – parche Shoplift.

Haz clic aquí para descargar el parche de seguridad SUPEE-5994. Está disponible para CE 1.4.1– 1.9.1.1.

Recomendamos encarecidamente que usted empieсe su trabajo con el parche de ambiente desarrollador. Antes de colocarlo en su sitio web, no olvide hacer la copia de seguridad (backup).

• Como instalar SUPEE-5994
• Como instalar SUPEE-5994 sin SSH

___________________________________

Miles de tiendas no están actualizadas solo porque sus propietarios no están informados, tienen falta del soporte técnico, o sus hosting no provee con el acesso en SSH. Claro que hay varios problemas. Siendo un miembro de la comunidad Magento, siempre tratamos de cuidar de los otros habitantes del ecosistema Magento, pues compartimos esta información con Usted. También, esperamos que usted comparta con los otros miembros de Magento.

Ante todo, recomendamos que usted use este enlace – https://shoplift.byte.nl/ – es la fuente de la información principal sobre el problema. También va encontrar ahí algunas estadísticas. El vídeo debajo demonstrara Vulnerabilidad Sobre la Ejecución Remota de Código (RCE).

Use el enlace debajo para verificar si su tienda Magento está afectada: http://magento.com/security-patch

La buena noticia es que Magento 1.9.1.1 ya incluye todos los parches (pero no la versión reciente de SUPEE-5994!). Usted puede arreglar el Shoplift, simplemente actualizandolo hasta la última versión. Debajo hay guías y instrucciones sobre la actualización:

1. https://www.demacmedia.com/magento-commerce/magento-upgrade-guide/
2. http://www.magentocommerce.com/wiki/1_-_installation_and_configuration/manual_upgrade_using_fresh_install_and_original_database
3. https://blog.amasty.com/how-to-upgrade-magento-version/

También hay una guía completa sobre el parche de Magento de las otras versiones:

• https://www.byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344

O puede usar esto:

• http://magentary.com/kb/apply-supee-5344-and-supee-1533/

Quiere aplicar los parches sin SSH y en lugar usar Diffs de Núcleo? Haz clic debajo http://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Una otra guía basada en archivos de núcleo de parche.

• https://magecomp.com/blog/how-to-install-magento-security-patches/

La discusión conveniente sobre Stack Exchange de Magento. Usted puede encontrar todas las maneras de aplicacción de los parches

• https://magecomp.com/blog/how-to-install-magento-security-patches/

Informe de Magento Hackeado / Como verificar si su tienda de Magento es hackeada

Verifique los enlaces debajo para ver los informes de Magento hackeado. Va aprender como verificar si su tienda fue hackeada o no, y lo que hacer cuando su tienda fue hackeada después de la aplicación de parches.

• http://community.magento.com/t5/Programming-Questions/Hacked-after-SUPEE-5344-5345-applied/m-p/3596#U3596
• http://magento.stackexchange.com/questions/67660/magento-hacked-even-after-applied-patch
• Server load very high, with MySQL server has gone away end
• Shoplift vulnerability if admin panel is hidden?

Problemas y troubleshooting después de la aplicación de parches

Algunas viejas versiones de Magento (por ejemplo 1.7.x y 1.8.x) pueden tener problemas durante la aplicación del parche. Recomendamos encarecidamente que usted haga una copia de seguridad (backup) de todos los archivos afectados por los parches (puede encontrarlos en el enlace debajo).

Hunk # FAILED

Hunk # FAILED – en la mayoría de los casos eso significa que usted está usando una mala versión del parche que no es conveniente para su tienda de Magento, o tiene algunas cosas necesarias del servidor perdidas. Verifique el enlace debajo para reciber más ayuda.

• http://magento.stackexchange.com/questions/64221/5344-security-patch-installation-error-in-magento
• http://stackoverflow.com/questions/29703404/error-patching-magento-1-7-1-hunk-1-failed-at
• http://codingbasics.net/bash-hunk-failed/

Pero, este problema también puede ocurrir con el parche correcto en Magento 1.8.x. Para resolver esto, tiene que cargar archivos del parche en la manera manual (use los enlaces arriba). Y no olvide hacer una copia de seguridad de archivos afectados!

Fatal error: Class Varien_Db_Adapter_Pdo_Mysql

Fatal error: Class Varien_Db_Adapter_Pdo_Mysql contiene metodos abstractos y por eso debe ser declarado – este problema frecuentamente ocurre en las viejas versiones de Magento (1.7.x) aún si esta usando el parche correcto. En este caso, recomendamos que usted sustituya lib/Varien/Db/Adapter/Pdo/Mysql.php por un archivo de parche de la versión más reciente como 1.8-1.9 (Ya habemos resolvido este problema en nuestros proyectos de Magento 1.7). Haz clic debajo para descaregar el archivo .

• http://magecomp.com/blog/wp-content/uploads/2015/04/SUPEE-5344.zip

También tiene que verificar el foro oficial de Magento para recibir más información sobre el parche y sus actualizaciones. Actualmente, aquí hay muchas discusiones apropiadas:

• http://community.magento.com/t5/Version-Upgrades/bd-p/upgrade

Más información sobre el parche y las acciones para prevenir el hacking de Magento

• http://www.thepixel.com/magento-shoplift-bug-have-you-been-affected/
• http://magento.stackexchange.com/questions/68010/error-after-successfull-patch-supee-5994-class-mage-install-controller-router
• http://magento.stackexchange.com/questions/68079/supee-5994-patch-installation-error-fails-on-lib-pear

Class ‘Mage_Install_Controller_Router_Install’ not found

SUPEE-5994 Erro de la instalación del Parche (lib/PEAR/)

Si ha eliminado /downloader, puede usar un Parche Special de Seguridad de Magento SUPEE-5994 (Magento CE 1.6 – 1.9 / EE 1.11 – 1.14) SIN PARCHES DE DOWNLOADER

• https://gist.github.com/schmengler/fd9fe1665eb3101bdf48

Como verificar la última versión aplicada a Magento

En primer lugar, necesita un aceso FTP. Después tiene que verficar el directorio app/etc/. La(there) puede encontrar el archivo applied.patches.list que es adicionado durante la aplicación del parche. Siendo un archivo diff, el parche mostra lo que debe ser cambiado cuando lo abre. También tiene que verificar nel archivo de llegada si el fue cambiado.

O puede usar un módulo Philwinkle_AppliedPatches. Este instrumento provee con la abildad de verificar todos los parches aplicados directamente de Admin Magento.

Philwinkle_AppliedPatches utiliza el archivo mencionado arriba (applied.patches.list) para crear una lista de los parches aplicados. Este módulo no funciona, si no conserva el archivo o commit en control de fuente. Si el archivo no puede ser leído por usuarios de servidores web, Philwinkle_AppliedPatches no funciona tampoco.

Como verificar la última versión del parche aplicado en Magento

Philwinkle_AppliedPatches on GitHub

Como instalar Magento a través de Composer con todos los parches de seguridad:

• https://medium.com/magento-development/magento-and-composer-44af0883abd9
• https://github.com/kirchbergerknorr/magento

Si tiene cualquier problema o erros durante la aplicación de parches de núcleo, o tiene preguntas relacionadas a este tema, dejanos saberlo en los comentarios – trataremos de ayudarle!