21

SUPEE-10888 - це новий патч безпеки для Magento 1, який вирішує 12 проблем безпеки.

https://magento.com/security/patches/supee-10888

SUPEE-10888, Magento Commerce 1.14.3.10 та Open Source 1.9.3.10 містять кілька покращень безпеки, які допомагають закрити сценарії між сайтом (XSS), підробку запитів між веб-сайтами (CSRF) та інші вразливості.

Виправлення можна знайти за адресою https://magento.com/tech-resources/download#download2243

На які найпоширеніші проблеми ви повинні стежити, застосовуючи цей патч?

— Люк Роджерс
джерело

Неможливо надіслати пароль електронною поштою клієнтам, які зареєструвались під час оформлення замовлення

— Хаїм

@Haim у цих питаннях StackExchange щодо виправлення патчів прийнято створювати "Відповідь", де ви пояснюєте, в якій версії Magento, в якому файлі патча виникає певна проблема.

— Jeroen Vermeulen - MageHost

@ JeroenVermeulen-MageHost зрозуміли. Це насправді не проблема патча, а лише те, що самі Magento згадують при випуску патча

— Хаїм

6

Нижче файли були змінені / створені після накладення патча

app/code/core/Mage/Admin/Model/User.php 
app/code/core/Mage/Admin/etc/config.xml 
app/code/core/Mage/Adminhtml/Block/Catalog/Product/Edit/Tab/Super/Config.php 
app/code/core/Mage/Adminhtml/Block/Widget/Grid/Massaction/Abstract.php 
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php 
app/code/core/Mage/Adminhtml/controllers/Catalog/ProductController.php 
app/code/core/Mage/Adminhtml/controllers/Permissions/UserController.php 
app/code/core/Mage/Adminhtml/etc/config.xml 
app/code/core/Mage/Checkout/Model/Api/Resource/Customer.php 
app/code/core/Mage/Checkout/Model/Type/Onepage.php 
app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php 
app/code/core/Mage/Core/etc/config.xml 
app/code/core/Mage/Core/etc/system.xml 
app/code/core/Mage/Customer/Helper/Data.php 
app/code/core/Mage/Customer/Model/Customer.php 
app/code/core/Mage/Customer/Model/Resource/Customer.php 
app/code/core/Mage/Customer/controllers/AccountController.php 
app/code/core/Mage/Customer/etc/config.xml app/code/core/Mage/Customer/etc/config.xml
app/code/core/Mage/Customer/sql/customer_setup/upgrade-1.6.2.0.6.1.1-1.6.2.0.6.1.2.php 
app/code/core/Mage/Paypal/Model/Express/Checkout.php 
app/code/core/Mage/XmlConnect/controllers/ReviewController.php 
app/code/core/Zend/Filter/PregReplace.php app/code/core/Zend/Filter/PregReplace.php
app/design/adminhtml/default/default/template/bundle/product/edit/bundle/option.phtml 
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/create/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/invoice/create/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/invoice/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/order/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/shipment/create/items/renderer.phtml 
app/design/adminhtml/default/default/template/bundle/sales/shipment/view/items/renderer.phtml 
app/design/adminhtml/default/default/template/catalog/product/helper/gallery.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/base/default/template/bundle/sales/order/creditmemo/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/invoice/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/shipment/items/renderer.phtml 
app/design/frontend/base/default/template/downloadable/checkout/multishipping/item/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/order/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/items/renderer/downloadable.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/order/downloadable.phtml 
app/locale/en_US/Mage_Adminhtml.csv app/locale/en_US/Mage_Adminhtml.csv
app/locale/en_US/Mage_Customer.csv app/locale/en_US/Mage_Customer.csv
app/locale/en_US/template/email/account_password_reset_confirmation.html 
app/locale/en_US/template/email/admin_new_user_notification.html 
downloader/Maged/Controller.php downloader/Maged/Controller.php
skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg

— Меетані
джерело

4

Це не дає відповіді на запитання.

— Саймон

6

У оригіналі виправлення v1 з 2018-09-18назвою файлу:

File skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg: git binary diffs are not supported.

Magento мовчки вирішив цю проблему, випустивши нові файли патчів. Все-таки, v1але з 2018-09-19ім'ям файлу.

— лип
джерело

Моє рішення - пропустити цю зміну, видаливши рядок, починаючи з diff --git skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpgі всі наступні рядки з файлу патчу

— Jeroen Vermeulen - MageHost

Я думаю, що Magento вийде з версією V2 для цього виправлення, з цим виправленням буде виправлено протягом найближчих кількох днів ...

— Акіф,

1

досить впевнений, що патчі були оновлені, але зберігаючи номер як v1? перезавантажити та перевірити.

— Люк Роджерс

2

@LukeRodgers Вони зробили! Як підлий! Я відредагую це питання.

— Jeroen Vermeulen - MageHost

1.7.02 CE версія патча все ще не оновлюється.

— danmentzer

3

Проблема з патчем PATCH_SUPEE-10888_CE_v1.9.0.1_v1-2018-09-18-02-54-39.shна ванільній Magento 1.8.1.0, з усіма попередніми встановленими патчами:

can't find file to patch at input line 1019
Perhaps you used the wrong -p or --strip option?
The text leading up to this was:
--------------------------
|diff --git app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
|index b1ec5eb0460..ca3e8b32474 100644
|--- app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
|+++ app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
--------------------------

Насправді файл app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtmlне існує в 1.8.1.0, тому я видалив цю зміну з файлу патча.

Мені це не вдалося зробити з оновленою 2018-09-19версією патча. Файл вдалося досягти лише PATCH_SUPEE-10888_CE_v1.8.1.0_v1-2018-09-18-02-54-39після того, thumbnail.jpgяк вилучили зміни, як це було пояснено в моєму коментарі на /magento//a/242823/13642

— Йероен Вермеулен - MageHost
джерело

Як ви вважаєте, чи має сенс випускати версію v2? і як встановлено патч на 1.7.0.2?

— Ікона

Це тому, що ви намагаєтеся виправити 1.8.1.0 за допомогою патча для 1.9.0.1. Подивіться уважно на ім’я патча, який ви використовуєте "PATCH_SUPEE-10888_CE_v1.9.0.1 _...." - "... CE_v1.9.0.1 ..."

— Андрій Боргояков

1

@AndreyBorgoyakov Я використовую правильний патч. Патчі названі найвищою версією, з якою вони сумісні. Ви можете перевірити на magento.com/tech-resources/download#download2243 . Файл шляху, який я використовую,SUPEE-10888 for CE 1.8.1.0-1.9.0.1 (0.06 MB)

— Jeroen Vermeulen - MageHost

1

@Icon після виправлення magento.stackexchange.com/a/242823/13642 виправлення встановлено добре на 1.7.0.2. Це порядок виправлень, встановлених на 1.7.0.2: SUPEE-2677 SUPEE-2629 SUPEE-1049 SUPEE-1868-1-12-0-2 SUPEE-4334-v1.11.1.0 SUPEE-5345 SUPEE-5994 SUPEE -6237 SUPEE-6285 SUPEE-6482 SUPEE-6788 SUPEE-7405-CE-1-7-0-2 SUPEE-7405 SUPEE-7616 SUPEE-8167 SUPEE-8788 SUPEE-8967 SUPEE-9652 PATCH_SUPEE-9767_CE_1.7.0.2_v2 -10336_v1.13.0.2 SUPEE-10266-CE-1.7.0.2 SUPEE-10415-ce-1.7.0.2 SUPEE-10570_CE_v1.7.0.2 SUPEE-10752_CE_v1.7.0.2 SUPEE-10888_CE_v1.7.0.2

— Jeroen Vermeulen - MageHost

Я переглянув опис виправлення, не знайшов жодних критичних покращень, як ми бачили в інших патчах. Немає особливої терміновості встановлення, як ви думаєте?

— Ікона

3

Якщо ви використовуєте власну тему, і ваша тема замінює будь-який із наведених нижче файлів, вам потрібно додати зміни до теми вручну

app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/base/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/base/default/template/bundle/sales/order/creditmemo/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/invoice/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/base/default/template/bundle/sales/order/shipment/items/renderer.phtml 
app/design/frontend/base/default/template/downloadable/checkout/multishipping/item/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/email/order/items/order/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/base/default/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml 
app/design/frontend/default/iphone/template/downloadable/sales/order/items/renderer/downloadable.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/creditmemo/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/invoice/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/order/default.phtml 
app/design/frontend/rwd/default/template/bundle/email/order/items/shipment/default.phtml 
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/invoice/downloadable.phtml 
app/design/frontend/rwd/default/template/downloadable/email/order/items/order/downloadable.phtml

наприклад, якщо ви додали

 app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml

у вашій темі, тоді вам доведеться вносити зміни вручну

app/design/frontend/[YourPackge]/[YourTheme]/template/bundle/email/order/items/creditmemo/default.phtml

Наприклад, Знайдіть ці рядки

$attributes['option_label']

і замінити нижче

$this->escapeHtml($attributes['option_label']);

— Муртуза Забуавала
джерело

2

Як зазначено в /magento//a/243531/142 , вам потрібно перевірити всі власні файли шаблонів frontend і включити зміни в патч там вручну.

Крім цього, вам потрібно перевірити account_password_reset_confirmation.htmlшаблон пошти. Залежно від вашого магазину, під app/locale/[LANG]/template/email/або в сервісному вікні в розділі Система> Трансакційні електронні листи для всіх мов. У всіх відповідних шаблонів, вам потрібно змінити _query_id=$customer.idв _query_id=$customer.rp_customer_id. Зміна була реалізована сумісно назад, але якщо ви хочете включити всі покращення безпеки, не слід пропускати ці зміни.

— Саймон
джерело

1

Сьогодні вранці я застосував пластир. Основні файли знаходяться в Magento backkend.

app/code/core/Mage/Admin/Model/User.php
app/code/core/Mage/Admin/etc/config.xml
app/code/core/Mage/Adminhtml/Block/Catalog/Product/Edit/Tab/Super/Config.php
app/code/core/Mage/Adminhtml/Block/Widget/Grid/Massaction/Abstract.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/Catalog/ProductController.php
app/code/core/Mage/Adminhtml/controllers/Permissions/UserController.php
app/code/core/Mage/Adminhtml/etc/config.xml
app/code/core/Mage/Checkout/Model/Api/Resource/Customer.php
app/code/core/Mage/Checkout/Model/Type/Onepage.php
app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Core/etc/system.xml
app/code/core/Mage/Customer/Helper/Data.php
app/code/core/Mage/Customer/Model/Customer.php
app/code/core/Mage/Customer/Model/Resource/Customer.php
app/code/core/Mage/Customer/controllers/AccountController.php
app/code/core/Mage/Customer/etc/config.xml
app/code/core/Mage/Customer/sql/customer_setup/upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php
app/code/core/Mage/Paypal/Model/Express/Checkout.php
app/code/core/Mage/XmlConnect/controllers/ReviewController.php
app/code/core/Zend/Filter/PregReplace.php
app/locale/en_US/Mage_Adminhtml.csv
app/locale/en_US/Mage_Customer.csv
app/locale/en_US/template/email/account_password_reset_confirmation.html
app/locale/en_US/template/email/admin_new_user_notification.html
downloader/Maged/Controller.php
skin/adminhtml/default/enterprise/images/placeholder/thumbnail.jpg

Escapehtml додані файли

app/design/adminhtml/default/default/template/bundle/product/edit/bundle/option.phtml
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/create/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/creditmemo/view/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/invoice/create/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/invoice/view/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/order/view/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/shipment/create/items/renderer.phtml
app/design/adminhtml/default/default/template/bundle/sales/shipment/view/items/renderer.phtml
app/design/adminhtml/default/default/template/catalog/product/helper/gallery.phtml
app/design/frontend/base/default/template/bundle/email/order/items/creditmemo/default.phtml
app/design/frontend/base/default/template/bundle/email/order/items/invoice/default.phtml
app/design/frontend/base/default/template/bundle/email/order/items/order/default.phtml
app/design/frontend/base/default/template/bundle/email/order/items/shipment/default.phtml
app/design/frontend/base/default/template/bundle/sales/order/creditmemo/items/renderer.phtml
app/design/frontend/base/default/template/bundle/sales/order/invoice/items/renderer.phtml
app/design/frontend/base/default/template/bundle/sales/order/items/renderer.phtml
app/design/frontend/base/default/template/bundle/sales/order/shipment/items/renderer.phtml
app/design/frontend/base/default/template/downloadable/checkout/multishipping/item/downloadable.phtml
app/design/frontend/base/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml
app/design/frontend/base/default/template/downloadable/email/order/items/invoice/downloadable.phtml
app/design/frontend/base/default/template/downloadable/email/order/items/order/downloadable.phtml
app/design/frontend/base/default/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml
app/design/frontend/base/default/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/creditmemo/default.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/invoice/default.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/order/default.phtml
app/design/frontend/rwd/default/template/bundle/email/order/items/shipment/default.phtml
app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
app/design/frontend/rwd/default/template/downloadable/email/order/items/creditmemo/downloadable.phtml
app/design/frontend/rwd/default/template/downloadable/email/order/items/invoice/downloadable.phtml
app/design/frontend/rwd/default/template/downloadable/email/order/items/order/downloadable.phtml

У Magento commerce додано файли, окрім наведених вище файлів:

app/code/core/Enterprise/GiftRegistry/Helper/Data.php
app/code/core/Enterprise/GiftRegistry/Model/Attribute/Processor.php
app/design/frontend/enterprise/default/template/cms/hierarchy/pagination.phtml
app/design/frontend/enterprise/iphone/template/bundle/sales/order/items/renderer.phtml
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/invoice/items/renderer/downloadable.phtml
app/design/frontend/enterprise/iphone/template/downloadable/sales/order/items/renderer/downloadable.phtml
app/design/frontend/rwd/enterprise/template/cms/hierarchy/pagination.phtml
app/design/frontend/rwd/enterprise/template/rma/return/view.phtml

Я досі не стикаюся з жодним питанням.

— Рама Чандран М
джерело

1

У Magento EE 1.13.1.0

Patch шукає неправильний файл (файл спільноти, я вважаю).

Довелося видалити ці рядки з файлу патча та застосувати. Він успішно застосовується.

Повідомлено основну команду Magento, але поки не отримайте відгуків.

diff --git app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
index b3e997f59f3..f34c2bba6a2 100644
--- app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
+++ app/design/frontend/rwd/default/template/bundle/sales/order/items/renderer.phtml
@@ -43,7 +43,7 @@
     <?php $attributes = $this->getSelectionAttributes($_item) ?>
     <?php if ($_prevOptionId != $attributes['option_id']): ?>
     <tr class="bundle label<?php if($_item->getLastRow()): ?> last<?php endif; ?>">
-        <td><div class="option-label"><?php echo $attributes['option_label'] ?></div></td>
+        <td><div class="option-label"><?php echo $this->escapeHtml($attributes['option_label']); ?></div></td>
         <td data-rwd-label="SKU" class="lin-hide">&nbsp;</td>
         <td data-rwd-label="Price" class="lin-hide">&nbsp;</td>
         <td data-rwd-label="Qty" class="lin-hide">&nbsp;</td>

— Адарш Хатрі
джерело

Ви коли-небудь чули про це?

— Лора

Так, вони надіслали мені ще один пластир у квитку.

— Адарш Хатрі

1

Форма для скидання пароля більше не працює після встановлення патчу на CE 1.7.0.2 з усіма встановленими попередніми патчами.

(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-18-03-00-22.sh)

Редагувати:

Випуск більше не виникає після повернення виправлення з 18 вересня (v1) та застосування оновленого патчу з 19 вересня (v1) + оновлення кешу та очищення кеш-пам'яті magento.

(PATCH_SUPEE-10888_CE_v1.7.0.2_v1-2018-09-19-03-01-22.sh)

— DanZ
джерело

1

Спасибі, Роббе за підказку.

SUPEE-10752 потрібно було застосувати. Я також застосував патч сумісності PHP 7.2 і видалив патч сумісності Inchoo_PHP7 перед встановленням SUPEE-10888. Працювали без проблем.

— Шарат Гегде
джерело

1

Magento CE 1.6.2.0

Після помилки, коли патч застосовано під час спроби скинути пароль облікового запису клієнта на фронтальній панелі.

Фатальна помилка: виклик функції члена getBackend () на не-об'єкт у додатку / код / core / Mage / Eav / Model / Entity / Abstract.php на лінії 1536.

Виявляється, патч не запустив сценарій оновлення SQL (app / code / core / Mage / Customer / sql / customer_setup / upgrade-1.6.1.0.1.2-1.6.1.0.1.3.php), який створив новий атрибут під назвою rp_customer_id.

Переконайтеся, що ви очистили кеш Magento, але ще важливіше, якщо у вас увімкнено кеш лаку, очистіть його. Після того, як я відключив весь кеш і очистив кеш лаку, сценарій SQL створив новий атрибут у базі даних.

— elliothagerty
джерело

1

Знайдено невелику помилку в патчі для 1.14.2.0 до 1.14.2.4

У файлі app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtmlпомилково вносяться такі зміни:

<dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt>

замість

<dt><?php echo $this->escapeHtml($this->getLinksTitle()); ?></dt>

Ось різниця для довідки:

diff --git app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml index 6ed3cd9bfd4..f8b1573605a 100644 --- app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml +++ app/design/frontend/enterprise/iphone/template/downloadable/sales/order/creditmemo/items/renderer/downloadable.phtml @@ -55,7 +55,7 @@  <?php if ($links = $this->getLinks()): ?> <dl class="item-options"> - <dt><?php echo $this->getLinksTitle() ?></dt> + <dt><?php echo $this->escspeHtml($this->getLinksTitle()); ?></dt> <?php foreach ($links->getPurchasedItems() as $link): ?> <dd><?php echo $this->escapeHtml($link->getLinkTitle()); ?></dd> <?php endforeach; ?>

Дуже приємна знахідка!

— domdambrogia

1

Існує опечатку всередині /app/code/core/Mage/Core/etc/system.xmlна <crate_admin_user_notification translate="label comment">це має бути , <create_admin_user_notification translate="label comment">але це не порушення , оскільки звичаї також пишуться неправильно вif(Mage::getStoreConfigFlag('admin/security/crate_admin_user_notification')

— Йорданія
джерело

0

Наразі тут не працює на Magento CE 1.9.1.0.

patching file app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
Hunk #2 FAILED at 57.

Візуальна перевірка вихідних файлів підтверджує, що відповідного коду немає.

patching file app/code/core/Mage/Customer/controllers/AccountController.php
Hunk #3 FAILED at 845.

...

can't find file to patch at input line 600
Perhaps you used the wrong -p or --strip option?
The text leading up to this was:
--------------------------
|diff --git app/code/core/Zend/Filter/PregReplace.php app/code/core/Zend/Filter/PregReplace.php

Як зазначено, такого файлу немає.

patching file app/design/adminhtml/default/default/template/bundle/product/edit/bundle/option.phtml
Hunk #1 FAILED at 209.

— Роб
джерело

Це виявилося тому, що SUPEE-10752 раніше не застосовувався.

— Робб

0

Просто FYI для користувачів EE, оскільки для цього виправлення потрібен SUPEE-10752, ви можете зіткнутися з тим, що деякі сеанси випадковим чином відхиляються або ваш замовлення перенаправляє на головну сторінку замість сторінки успіху.

Ми перейшли до звичайного способу застосування наступних патчів у такому порядку:

SUPEE-10570v2 (PATCH_SUPEE-10570_EE_v1.14.2.4_v2-2018-03-22-10-57-00.sh)
SUPEE-10752 (PATCH_SUPEE-10752_EE_v1.14.2.4_v1-2018-06-25-09-53-38.sh)
SUPEE-10888 (PATCH_SUPEE-10888_EE_v1.14.2.4_v1-2018-09-19-03-07-06.sh)

Однак патч SUPEE-10752 для EE містить такі зміни: app / code / core / Mage / Core / Model / Session / Abstract / Varien.php

+    const VALIDATOR_PASSWORD_CREATE_TIMESTAMP   = 'password_create_timestamp';


+    /**
+     * Use password creation timestamp in validator key
+     *
+     * @return bool
+     */
+    public function useValidateSessionPasswordTimestamp()
+    {
+        return true;
+    }


+        if ($this->useValidateSessionPasswordTimestamp()
+            && isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
+            && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
+            && $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
+            > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
+        ) {
+            return false;
+        }

Мені довелося застосувати останню частину invalid_session_fix-2018-03-14-05-10-19.patch нижче, яку можна знайти в https://magento.com/tech-resources/download під SUPEE-10570 > invalid_session_fix.patch (0 Мб)

diff --git a/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php b/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
index 59b3ea8..35155f1 100644
--- a/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
+++ b/app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
@@ -485,7 +485,7 @@ class Mage_Core_Model_Session_Abstract_Varien extends Varien_Object
             && isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
             && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
             && $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
-            > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
+            > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP]
         ) {
             return false;
         }

— Річард Фераро
джерело

Я отримую те саме питання, я використовую Magento CE ver. 1.9.3.1, якщо ви знайшли дозвіл, будь ласка, повідомте мене

— shyopat

0

У мене виникло досить багато клієнтів, коли вони дзвонять нам, що вони не можуть увійти та переглянути свій рахунок.

Електронна адреса та пароль правильні - повідомлення про помилку входу немає, сторінка просто перезавантажується на домашню сторінку або сторінку входу, вони, схоже, не можуть потрапити в їхній рахунок! Це сталося після застосування патча 10888, і у нас застосовано 10752.

Після копання я виявив у таблиці customer_entity, і мені спалахнуло, що у постраждалих клієнтів є часова марка created_dateПІСЛЯ updated_date. Я думаю, що так не повинно бути?

Тому для тестування я змінив create_date, щоб бути ПЕРЕД оновленим_датою, навіть на одну хвилину. Для деяких користувачів це лише допомогло їм повернутися до своїх облікових записів. Хоча для інших користувачів я також повинен був оновити свій пароль через SQL, використовуючи запит:

update customer_entity_varchar set value = md5('123456') 
   where where entity_id = 105 /*enter customer's entity_id found in customer_entity */
   and attribute_id in 
      (select attribute_id from eav_attribute where attribute_code = 'password_hash' 
        and entity_type_id = 1);

Мені не доведеться повністю досліджувати зміни, які SUPEE 10888 робить у файлах основних клієнтів, але з патчем напевно є проблеми.

Крім того, я не можу оновлювати пароль клієнтів через панель адміністратора, як зазвичай, при збереженні сторінки, це призводить до помилки.

Використовуючи 1.9.2.4

— Джоел
джерело

У мене те саме питання, ви знайшли рішення для цього питання?

— Правін

0

Я використовую Magento 1.9.3.7. Os - це ubuntu. Версія PHP - 7.0.

При спробі застосувати шлях SUPPER-10888 потрапляючи нижче помилки.

Checking if a patch can be applied/reverted successfully...

ПОМИЛКА: Патч неможливо застосувати / повернути успішно.

перевірка файлового додатка / код / core / Mage / Admin / Model / User.php Hunk №2 вдалася на рівні 676 (зміщення -20 рядків). перевірка файлового додатка / код / core / Mage / Admin / тощо / config.xml перевірка файлу app / code / core / Mage / Adminhtml / Блок / Каталог / Продукт / Редагування / Вкладка / Супер / Config.php перевірка файлу app / code / core / Mage / Adminhtml / Block / Widget / Grid / Massaction / Abstract.php перевірка файлового додатка / код / core / Mage / Adminhtml / Model / LayoutUpdate / Validator.php Hunk # 2 ЗНАТИ в 57. Hunk # 3 вдався до 80 ( зміщення -12 рядків). Hunk # 4 досяг успіху в 115 з нечіткою 2 (зміщення -12 рядків). Hunk №5 досяг успіху на 139 з пухом 1 (зміщення -21 рядки). Ханк №6 досяг успіху в 161 (зміщення -21 рядок). 1 з 6 переломів ПОМИЛИ перевірити файл app / code / core / Mage / Adminhtml / Controllers / Каталог / ProductController.php Hunk №1 вдався до 1020 (зміщення -11 рядків). перевірка файлового додатка / код / core / Mage / Adminhtml / контролери / дозволи / UserController.php програма перевірки файлу / код / core / Mage / Adminhtml / і т.д. / config.xml перевірка файлового додатка / код / core / Mage / Checkout / Model / Api / Resource / Customer.php Hunk №1 досяг успіху на 151 з fuzz 1 (зміщення -1 рядків). перевірка файлового додатка / код / core / Mage / Checkout / Model / Type / Onepage.php Hunk # 1 вдалося отримати 731 з fuzz 1 (зміщення -3 рядків). перевірка файлового додатка / код / core / Mage / Cms / Модель / Wysiwyg / Images / Storage.php перевірка файлового додатка / код / core / Mage / Core / і т.д. / config.xml перевірка файлової програми / код / core / Mage / Core / etc / system.xml перевірка файлу app / code / core / Mage / Customer / Helper / Data.php перевірка файлу app / code / core / Mage / Customer / Model / Customer.php програма перевірки файлу / код / core / Mage / Customer /Model/Resource/Customer.php Hunk №1 досяг успіху в 332 (зміщення -1 рядок). перевірка додатка файлу / код / core / Mage / Клієнт / контролери / AccountController.php Hunk №1 вдалося отримати 755 (зміщення -1 рядок). Ханк №2 досяг успіху в 810 (зміщення -1 рядків). Хенк №3 провалився на 871. Хенк №4 досяг успіху в 883 (зсув -2 рядків). 1 з 4 лунок ПОСЛІДОВАНО перевіряє файл-додаток / код / ядро / маг / клієнт / тощо / config.xml Hunk № 1 НЕПОСТАВЛЕНО в 28. customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php перевірка файлу app / code / core / Mage / Paypal / Model / Express / Checkout.php програма перевірки файлу / код / core / Mage / XmlConnect / Controllers / ReviewController.php не може знайти файл для виправлення у рядку введення 600 Можливо, ви використали неправильну опцію -p або --strip? Ханк №4 досяг успіху в 883 (зміщення -2 рядків). 1 з 4 лунок ПОСЛІДОВАНО перевіряє файл-додаток / код / ядро / маг / клієнт / тощо / config.xml Hunk № 1 НЕПОСТАВЛЕНО в 28. customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php перевірка файлу app / code / core / Mage / Paypal / Model / Express / Checkout.php програма перевірки файлу / код / core / Mage / XmlConnect / Controllers / ReviewController.php не може знайти файл для виправлення у рядку введення 600 Можливо, ви використали неправильну опцію -p або --strip? Ханк №4 досяг успіху в 883 (зміщення -2 рядків). 1 з 4 лунок ПОСЛІДОВАНО перевіряє файл-додаток / код / ядро / маг / клієнт / тощо / config.xml Hunk № 1 НЕПОСТАВЛЕНО в 28. customer_setup / upgrade-1.6.2.0.5.1.2-1.6.2.0.5.1.3.php перевірка файлу app / code / core / Mage / Paypal / Model / Express / Checkout.php програма перевірки файлу / код / core / Mage / XmlConnect / Controllers / ReviewController.php не може знайти файл для виправлення у рядку введення 600 Можливо, ви використали неправильну опцію -p або --strip?

Текст, що веде до цього:

| diff --git app / code / core / Zend / Filter / PregReplace.php app / code / core / Zend / Filter / PregReplace.php | index 586c0fe20a0..d6fa2dac0ec 100644 | --- app / code / core / Zend / Filter / PregReplace.php

| +++ додаток / код / core / Zend / Filter / PregReplace.php

Файл для виправлення: пропустити цей патч? [y] Пропуск виправлення. 2 з 2 луків ігнорували перевірку файлового додатка / дизайн / adminhtml / за замовчуванням / за замовчуванням / шаблон / пачка / продукт / редагування / пакет / параметр.phtml Hunk №1 ЗНАНИЛО в 209. 1 з 1 пар adminhtml / default / default / template / bundle / sales / Creditmemo / create / items / renderer.phtml перевірка файлу app / design / adminhtml / default / default / template / bundle / sales / Creditmemo / view / items / renderer.phtml перевірка файлу app / design / adminhtml / default / default / template / bundle / sales / рахунок / рахунок / create / items / renderer.phtml програма перевірки файлу app / design / adminhtml / default / default / template / bundle / sales / fakture / view / items / renderer .phtml перевірка файлу app / design / adminhtml / default / default / template / bundle / sales / order / view / items / renderer.

Будь-яка ідея, чого не вистачає?

— Пандуранг
джерело

Патч безпеки SUPEE-10888 - Можливі проблеми?

Escapehtml додані файли

Текст, що веде до цього:

| +++ додаток / код / ​​core / Zend / Filter / PregReplace.php

| +++ додаток / код / core / Zend / Filter / PregReplace.php