Патч безпеки SUPEE-10266 - Можливі проблеми?


36

Новий виправлення безпеки для Magento 1 розв'язав 13 проблем APPSEC

https://magento.com/security/patches/supee-10266

На які найпоширеніші проблеми ви повинні стежити, застосовуючи цей патч?

SUPEE-10266, Magento Commerce 1.14.3.6 та Open Source 1.9.3.6 містять декілька покращень безпеки, які допомагають закрити підробку запитів між веб-сайтами (CSRF), несанкціоновану витік даних та автентифіковані вразливі місця віддаленого виконання коду адміністратора. Ці випуски також містять виправлення проблем із перезавантаженням зображень та платежами за допомогою однокрокової каси.


Зустріч із проблемою при застосуванні до 1.9.3.2 - magento.stackexchange.com/questions/193451/…
Шреник

Відповіді:


13

Деякі важливі відомості діляться тут. Більшість файлів із Magento Bakend. Список файлів:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

Важливо, щоб перевірити ці три файли.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

додаток / код / ​​core / Mage / Checkout / контролери / CartController.php додаткова перевірка умови клієнтського ідентифікатора :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

додаток / код / ​​core / Mage / Продажі / Модель / Ресурс / Замовлення / Елемент / Collection.php додано Додатковий метод addFilterByCustomerId у колекції.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

app / code / core / Mage / Core / Model / File / Validator / Image.php

якщо 'general / reprocess_images / active' false, то пропускайте обробку зображень. ПРИМІТКА. Якщо вимкнути повторну обробку зображень, процес завантаження зображень може спричинити загрозу безпеці

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Сподіваюсь, це стане в нагоді. Я думаю


Скажіть, будь ласка, як саме ми повинні перевірити наявність можливих проблем у CartController.php та Collection.php. Де саме шукати можливі збої на веб-сайті?
Ікона

У мене оновлено патч безпеки 3 сайта, усі три сайти переосмислюють ці два файли. Уважно перевірте та оновіть ці два файли. На всіх 3 сайтах не відбувається жодних гетчів
Rama Chandran M

10

EE 1.14.2.4

Друкуйте на рядку 726 патча: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Здається, у патчі пропущено два фронтальних файли:

Виправлено:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

Не зафіксовано:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml


Крім того, не забудьте перевірити місцеві скасування ... Мені довелося вручну виправити локальний перезапуск кодового пулу app\design\adminhtml\default\default\template\sales\order\view\info.phtml


Дивіться відповідь квазіобекта на питання, що стосується замовлення на одній сторінці. Квиток підтримки підприємства створений, чекаючи відповіді від Magento. Якщо ви не хочете чекати оновленого виправлення, потенційним виправленням є зміна app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmlстатусу "else" в, щоб включити елемент form_key, як-от так:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...


CE 1.9.2.4

Друкуйте на рядку 694 патча: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Розширення TrueOrderEdit має бути виправлено ... зміни echo $_groupNameв echo $this->escapeHtml($_groupName)наступні файли:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml


Нарешті, цей основний файл шаблону, ймовірно, також повинен бути виправлений тим самим оновленням $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml


Усі версії 1.X

Якщо ви видалили /downloaderпапку (або /downloader/template) зі своєї кодової бази, можливо, вам доведеться вручну відредагувати патч-файл .sh та видалити останній розділ, починаючи зdiff --git downloader/template/login.phtml downloader/template/login.phtml

Щодо помилки невірного секретного ключа , будь ласка, дивіться мою відповідь тут: Magento 1.9 Недійсний секретний ключ. Будь ласка, оновіть сторінку


Я також знайшов друкарський помилок для версії 1.7.0.2. autocomplete = "new-pawwsord". Чи це в будь-якому випадку впливає на роботу коду? Якщо так, можливо, версія2 патча в дорозі?
Ікона

По суті помилка друку в коді, що відповідає за фокус FireFox. "Це манекенове приховане поле для обману Firefox з автоматичного заповнення пароля" ... виглядає зовсім не так, як нічого серйозного.
Ікона

@kmdsax Я отримав виправлення від підтримки, щоб вирішити проблему. Оновив мою відповідь деталями.
квазіобіг

Ви можете допомогти мені вирішити мою помилку magento.stackexchange.com/q/204446/57334
zus

9

Ми в MageHost.pro знайшли проблему в патчі для Magento 1.9.1.1, патч-файлуPATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Помилка:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Я виправив це, замінивши рядки 454-472 на 454-471 від PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Старий код, рядок 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Новий код, рядки 454-471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Ви розглядали інші версії? Якщо так, чи існує та сама проблема?
Іконка

1
@Icon Ми протестували ce-1.6.0.0 ce-1.6.1.0 ce-1.6.2.0 ce-1.7.0.0 ce-1.7.0.1 ce-1.7.0.2 ce-1.8.0.0 ce-1.8.1.0 ce-1.9.0.0 ce -1.9.0.1 ce-1.9.1.0 ce-1.9.1.1 ce-1.9.2.0 ce-1.9.2.1 ce-1.9.2.2 ce-1.9.2.3 ce-1.9.2.4 ce-1.9.3.0 ce-1.9.3.1 ce -1.9.3.2 ce-1.9.3.3 ce-1.9.3.4. На всіх версіях були встановлені всі попередні виправлення. Єдиним з помилкою виправлення був ce-1.9.1.1.
Jeroen Vermeulen - MageHost

6

Здається, що в цей патч було додано лише 1 ключ форми.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Тож якщо у вас виникли труднощі з видаленням віджета з панелі адміністратора, переконайтеся, що ваш URL-адрес видалення блокується блоком, і щоб у вас не було відмінок цього блоку.


як я можу вирішити цей magento.stackexchange.com/q/204446/57334 ?
zus

5

Неможливо оформити замовлення на EE 1.11+

У app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlформі форми код видалення видалено, і він порушує весь замовлення, більше інформації тут: https://magento.stackexchange.com/a/193442/2380

Наразі вирішення проблеми (оскільки для вирішення цієї проблеми буде випущено V2 для EE 1.11+): відкат файлу шаблонів для обох enterprise/defaultі rwd/entrepriseтем.

Відмінності між патчем та версією

EDIT: 1.9.3.6 було випущено, тому ця інформація більше не є актуальною

Однією з головних проблем, яка піднімалася на даний момент, є те, що в 1.9.3.5 відсутні 3 патчі безпеки з патча. Тому я настійно рекомендую лише виправлення, а не оновлення до 1.9.3.5


Чи є у вас додаткова інформація з цього приводу, як-от приклад непатченного файлу в 1.9.3.5?
Люк Роджерс

Це все ще триває для CE / Open Source? Для EE / Commerce не доступно 1.14.3.5 завантаження, лише 1.14.3.6.
7оч.

На сторінці завантаження CE / Open Source також є лише 1.9.3.6 (з 14 вересня на ній написано) і жоден 1.9.3.5
оч

4
1.9.3.6 була опублікована вчора, ця інформація більше не актуальна.
Ryan Hoerr

5

Все ще намагаємось визначити, чи це унікально для нашого магазину, завдяки власним шаблонам. Однак він порушений із застосованим патчем і не зламаний під час відновлення. Я хотів опублікувати, якщо інші можуть повідомити про це.

У EE 1.14.2.0 ми не можемо пройти повз етапу оформлення платіжної інформації з платежем із застосованим патчем. Ми застосовуємо SUPEE-9767 v2 до того, як застосувати новий патч.

Наша проблема, схоже, випливає з них || elements[i].name == 'form_key':

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Його виймають з enablePaymentMethodsпетлі. Схоже, цей прихований вхід форми_ключення форми вимкнено і тому не передається контролеру при надсиланні.

<input name="form_key" type="hidden" value="X" disabled="">

Потім $this->_validateFormKey()виходить з ладу і контролер нічого не повертає.


Оновлення 1 (2017-09-18) : я подав квиток у службу підтримки Magento у п’ятницю, і мені сказали, що «[ще не повідомили жодного продавця». Замість того, щоб надсилати резервні копії, я намагався дублювати на чистій установці 1.14.2.4 та 1.14.3.4 із застосованими відповідними патчами. Я зміг дублювати та відповів на квиток. Чекаю нової відповіді.

Примітка: Система> Конфігурація> Адміністратор> Захист> Увімкнути перевірку ключа форми під час оформлення замовлення має бути "Так". Якщо "Ні", ви не побачите проблеми.


Оновлення 2 (2017-09-18) : Помітив, що я не міг дублювати проблему з 1.14.3.6, але коли я перевірив файл шаблону вище, || elements[i].name == 'form_key'все ще є. Здається, патчі не повинні були їх видаляти. Надіслали цю інформацію також підтримці Magento.


Оновлення 3 (2017-09-20): я щойно отримав виправлення, щоб виправити проблему на 1.14.0.0–1.14.3.4, який просто відновлює form_keyрядок до шаблону. Попросіть підтримку для SUPEE-10348.


Тут же випуск 1.14.2.4
kmdsax

Дякую @kmdsax. Я також подав квиток і чекаю отримати підтвердження від підтримки.
квазіобіг

Ви спробували повторити ту саму помилку у версії 1.9.2.4 CE?
Ікона

1
@Icon Я ні. Я працюю на одного продавця, і ми EE. Однак я не думаю, що це вплине, оскільки це блок скриптів подарункової картки EE. Цього не повинно існувати в СЕ.
квазіобіг

4

Коли ви переходите до Magento Connect та після натискання кнопки "Повернутися до адміністратора" у верхньому правому куті сторінки. Повернувшись назад до інформаційної панелі адміністратора, ви отримаєте повідомлення про помилку

червоне повідомлення про помилку: "Недійсний секретний ключ. Будь ласка, оновіть сторінку."

Після оновлення сторінки її зникне.


Оновлено: 15 вересня 2017 р

Якщо ви ввійдете до адміністратора Magento, скажіть, на панелі керування Без виходу з панелі інформаційної панелі ви відкриваєте інше вікно веб-переглядача в тому ж браузері і переходите на сторінку example.com/admin, він автоматично авторизується та показує саме те саме повідомлення

червоне повідомлення про помилку: "Недійсний секретний ключ. Будь ласка, оновіть сторінку."

Поки що це єдине питання, яке я знайшов. Я навіть не впевнений, чи це суцільна проблема, коли повідомлення проходить після оновлення.


Можливо, це відбувається із закриття Magento Connect: magento.com/blog/magento-news/…
Кевін Крігер

1
@KalvinKlien Я також на 1.7.0.2. Я бачу це повідомлення кожного разу, коли я перебуваю між адміністратором та Magneto Connect (/ завантажувачем). Я просто намагаюся з’ясувати, чи бачать це й інші .. Це не здається головним питанням.
Ікона

3
Я бачу це і в 1.9.2.1. Хтось уже подав звіт про помилки в трекуванні про помилки Magento .
Майкл Тессел

1
Це помилка в Mage_Adminhtml_Controller_Action :: preDispatch (): if ($_keyErrorMsg != '') { Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };повинен бутиif (!$_isValidFormKey){ Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };
Laura

1
хммм, це поки часткове рішення. Я все ще час від часу бачу помилку, не впевнений, чи є інший контролер, який має цю проблему
Kalvin Klien

4

Я попросив Magento підтримку щодо наступної проблеми

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Вони відповіли мені сьогодні вранці і випустили новий патч PATCH_SUPEE-10348 .

Magento просто вирішив проблему, зробивши реверт у цьому файлі.

Індекс: додаток / дизайн / frontend / підприємство / за замовчуванням / шаблон / giftcardaccount / onepage / Payment / scriptpts.phtml
===================================================== =================
--- додаток / дизайн / frontend / підприємство / за замовчуванням / шаблон / giftcardaccount / onepage / Payment / scriptpts.phtml
+++ додаток / дизайн / frontend / підприємство / за замовчуванням / шаблон / giftcardaccount / onepage / Payment / scriptpts.phtml
@@ -35,6 +35,7 @@
             if (елементи [i] .name == 'оплата [метод]'
                 || елементи [i] .name == 'оплата [use_customer_balance]'
                 || елементи [i] .name == 'оплата [use_reward_points]'
+ || елементи [i] .name == 'form_key'
             ) {
                 methodName = елементи [i] .значення;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {

1
Можна підтвердити, що цей патч доступний на партнерському порталі.
Люк Роджерс

Спасибі за інформацію. Я забув дати цю інформацію
cghisi

3

У мене виникли проблеми із шаблонами електронної пошти, спеціальним CSS та модменом. Якщо у вас є, наприклад, тема, заснована на rwd/defaultкористувачеві, skin/frontend/package/theme/css/email-inline.cssа ваші шкірні файли включаються через модуль через симпосилання, CSS не буде доданий до шаблону пошти після застосування SUPEE-10266. Проблема полягає в тому Mage_Core_Model_Email_Template_Abstract::_getCssFileContent, що введено деякі перевірки:

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Я вирішив це на даний момент брудним злом з app/code/local/Mage/Core/Model/Email/Template/Abstract.phpпереоцінкою. Мені довелося ослабити чек, щоб можна було завантажити файл CSS з каталогу modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Він не перевірить, чи шлях містить більше повний каталог шкіри, а лише перевірить, чи містить цей шлях рядок /skinі чи не містить він .., що повинно запобігти атакам обходу каталогів.


1
Видалену мою відповідь як вашу більш повно. Злом, який я використав, був для перевірки if (strpos($filename, '..') === false) { $positionSkinDirectory = 1; }рядка після того, $positionSkinDirectoryяк він встановлений спочатку. Це повинно допомогти уникнути обходу каталогів.
Peter O'Callaghan

Хочу зазначити, що слабшати в даному випадку означає, що зробимо його знову вразливим, і що використання цього рішення є прямим ризиком для безпеки
Flyingmana

@ PeterO'Callaghan хороша ідея! Я щойно додав ваш чек до коду відповіді.
Саймон

@ Flyingmana це повинно різко знизити ризик.
Саймон

2

Ось повний список виправлень, на які впливає autocomplete="new-pawwsord"помилка друку:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716

0

У Magento 1.8.1 у мене виникли проблеми із такими файлами:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

Я закінчив завантаження останньої версії Magento, яка НЕ ​​містить патча. У цьому випадку Magento 1.9.3.4 .

Заміна «пошкоджених» файлів на файл із завантаження вирішила проблему. Мені вдалося успішно застосувати патч.

Але будьте обережні: я пропоную повернути 3 файли після виправлення знову і відредагувати файли вручну.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.