Magento सिक्योरिटी पैच वे .shफ़ाइलों की तरह दिखते हैं , कोई SSH एक्सेस के बिना इन पैच को अपने Magento के इंस्टॉलेशन पर कैसे लागू करेगा?

इसके अलावा, इन पैच संचयी हैं? IE: क्या उन्हें Magento के भविष्य के संस्करण में शामिल किया जाएगा या उन्हें फिर से लागू करने की आवश्यकता है?

मैं यह प्रश्न पूछ रहा हूं क्योंकि मैंने अपने व्यवस्थापक पैनल में लॉग इन किया और एक महत्वपूर्ण सुरक्षा चेतावनी प्राप्त की:

मैगेंटो कम्युनिटी एडिशन डाउनलोड पेज ( https://www.magentocommerce.com/products/downloads/magento/ ) से 2 महत्वपूर्ण सुरक्षा पैच ( SUPEE-5344 और SUPEE-1533 ) डाउनलोड करें और लागू करें ।

यदि आपने ऐसा पहले से नहीं किया है, तो 2 पहले से रिलीज़ किए गए पैच डाउनलोड और इंस्टॉल करें जो किसी हमलावर को सेंटेनो सॉफ्टवेयर पर दूरस्थ रूप से निष्पादित कोड से रोकते हैं। ये समस्याएँ Magento के सामुदायिक संस्करण के सभी संस्करणों को प्रभावित करती हैं।

आने वाले दिनों में चेक प्वाइंट सॉफ्टवेयर टेक्नॉलॉजीज की एक प्रेस विज्ञप्ति इन मुद्दों में से एक को व्यापक रूप से ज्ञात करेगी, संभवतः हैकरों को सचेत करना जो इसका फायदा उठाने की कोशिश कर सकते हैं। सुनिश्चित करें कि समस्या के प्रचार से पहले पैच एक निवारक उपाय के रूप में हैं।

और यह 14 मई, 2015 तक है :

Magento के सामुदायिक संस्करण डाउनलोड पृष्ठ ( https://www.magentocommerce.com/products/downloads/magento/ ) से एक नया सुरक्षा पैच ( SUPEE-5994 ) डाउनलोड और इंस्टॉल करना आपके लिए महत्वपूर्ण है । मैगेंटो कम्युनिटी एडिशन सॉफ्टवेयर के सभी संस्करणों को प्रभावित करने वाली कई सुरक्षा कमजोरियों के संपर्क से आपकी साइट को बचाने में मदद करने के लिए कृपया इस महत्वपूर्ण अपडेट को तुरंत लागू करें। कृपया ध्यान दें कि यह पैच हाल के शॉपलिफ्ट पैच (SUPEE-5344) के अतिरिक्त स्थापित किया जाना चाहिए।

मुझे निम्नलिखित ईमेल भी मिले:

डियर मैजेंटो मर्चेंट,

संभावित हमलों से Magento के मंच को और सुरक्षित करने के लिए, हम आज कई महत्वपूर्ण सुरक्षा सुधारों के साथ एक नया पैच (SUPEE-5994) जारी कर रहे हैं। पैच उन मुद्दों की एक श्रृंखला को संबोधित करता है, जिनमें परिदृश्य शामिल हैं जहां हमलावर ग्राहक की जानकारी तक पहुंच प्राप्त कर सकते हैं। इन कमजोरियों को हमारे बहु-बिंदु सुरक्षा कार्यक्रम के माध्यम से इकट्ठा किया गया था, और हमें इन मुद्दों से प्रभावित होने वाले व्यापारियों या उनके ग्राहकों की कोई रिपोर्ट नहीं मिली है।

Magento के सामुदायिक संस्करण सॉफ़्टवेयर के सभी संस्करण प्रभावित हैं और हम दृढ़ता से अनुशंसा करते हैं कि आप इस महत्वपूर्ण पैच को तुरंत तैनात करने के लिए अपने समाधान भागीदार या डेवलपर के साथ काम करें। कृपया ध्यान दें कि यह पैच हाल के शॉपलिफ्ट पैच (SUPEE-5344) के अतिरिक्त स्थापित किया जाना चाहिए। सुरक्षा मुद्दों के बारे में अधिक जानकारी Magento के सामुदायिक संस्करण उपयोगकर्ता गाइड के परिशिष्ट में उपलब्ध है।

आप सामुदायिक संस्करण डाउनलोड पृष्ठ से पैच डाउनलोड कर सकते हैं। SUPEE-5994 पैच के लिए देखें। पैच सामुदायिक संस्करण 1.4.1- 1.9.1.1 के लिए उपलब्ध है।

एक विकास वातावरण में पैच को लागू करने और परीक्षण करने के लिए सुनिश्चित करें कि यह पुष्टि करने के लिए कि यह उत्पादन साइट पर तैनात करने से पहले अपेक्षित रूप से काम करता है। Magento के सामुदायिक संस्करण पर पैच स्थापित करने की जानकारी ऑनलाइन उपलब्ध है।

इस मुद्दे पर ध्यान देने के लिए आपका धन्यवाद।

अद्यतन 7 जुलाई - 2015

7 जुलाई 2015: न्यू मैगेंटो सिक्योरिटी पैच ( SUPEE-6285 ) - तुरंत स्थापित करें
आज हम एक नया सुरक्षा पैच ( SUPEE-6285 ) प्रदान कर रहे हैं जो महत्वपूर्ण सुरक्षा कमजोरियों को दूर करता है। पैच सामुदायिक संस्करण 1.4.1 से 1.9.1.1 के लिए उपलब्ध है और आज डाउनलोड के लिए उपलब्ध हमारे नवीनतम रिलीज, सामुदायिक संस्करण 1.9.2 के मुख्य कोड का हिस्सा है। कृपया ध्यान दें: आपको सबसे पहले SUPEE-5994 को लागू करना चाहिए ताकि SUPEE-6285 ठीक से काम कर सके। समुदाय संस्करण 1.9.2 या सामुदायिक संस्करण डाउनलोड पृष्ठ से पैच डाउनलोड करें : https://www.magentocommerce.com/products/downloads/magento/

अद्यतन 4 अगस्त - 2015

4 अगस्त 2015: न्यू मैगेंटो सिक्योरिटी पैच ( SUPEE-6482 ) - तुरंत स्थापित करें
आज हम एक नया सुरक्षा पैच ( SUPEE-6482 ) प्रदान कर रहे हैं जो 4 सुरक्षा मुद्दों को संबोधित करता है; एपीआई से संबंधित दो मुद्दे और दो क्रॉस-साइट स्क्रिप्टिंग जोखिम। पैच सामुदायिक संस्करण 1.4 और बाद के रिलीज के लिए उपलब्ध है और समुदाय संस्करण 1.9.2.1 के मुख्य कोड का हिस्सा है, जो आज डाउनलोड के लिए उपलब्ध है। इस नए सुरक्षा पैच को लागू करने से पहले, आपको पहले के सभी सुरक्षा पैच लागू करने होंगे। सामुदायिक संस्करण 1.9.2.1 डाउनलोड करें या सामुदायिक संस्करण से पैच https://www.magentocommerce.com/products/downloads/magento/ पर पेज डाउनलोड करें

अद्यतन 27 अक्टूबर - 2015

27 अक्टूबर, 2015: न्यू मैगेंटो सिक्योरिटी पैच ( SUPEE-6788 ) -
आज तुरंत स्थापित करें , हम एक नया पैच ( SUPEE-6788 ) और सामुदायिक संस्करण 1.9.2.2/Enterprise संस्करण 1.14.2.2 जारी कर रहे हैं। दूरस्थ कोड निष्पादन और सूचना रिसाव कमजोरियां। यह पैच गुरुइंसेसाइट मालवेयर समस्या से संबंधित नहीं है । एक विकास के माहौल में पैच का परीक्षण करना सुनिश्चित करें, क्योंकि यह एक्सटेंशन और अनुकूलन को प्रभावित कर सकता है। सामुदायिक संस्करण से पैच डाउनलोड करें पृष्ठ / एंटरप्राइज़ संस्करण सहायता पोर्टल डाउनलोड करें और http://magento.com/security/patches/supee-6788 पर अधिक जानें ।

UPDATE JAN 20 - 2016

महत्वपूर्ण: नई सुरक्षा पैच ( SUPEE-7405 ) और रिलीज़ - 1/20/2016
आज, हम Magento साइटों की सुरक्षा में सुधार करने के लिए एक नया पैच ( SUPEE-7405 ) और सामुदायिक संस्करण 1.9.2.3 / एंटरप्राइज़ संस्करण 1.14.2.3 जारी कर रहे हैं । सुरक्षा मुद्दों से संबंधित कोई भी पुष्टि किए गए हमले नहीं हैं, लेकिन कुछ कमजोरियों का ग्राहक की जानकारी तक पहुंचने या व्यवस्थापक सत्रों को संभालने के लिए संभावित शोषण किया जा सकता है। आप पैच डाउनलोड कर सकते हैं और सामुदायिक संस्करण डाउनलोड पृष्ठ / MyAccount से जारी कर सकते हैं और https://magento.com/security/patches/supee-7405 पर अधिक जान सकते हैं ।

अद्यतन FEB 23 - 2016

SUPEE7405 पैच के अपडेट किए गए संस्करण अब उपलब्ध हैं। अद्यतन PHP 5.3 के लिए समर्थन जोड़ते हैं और अपलोड फ़ाइल अनुमतियों के साथ मुद्दों को संबोधित करते हैं, कार्ट को विलय करते हैं, और मूल रिलीज के साथ अनुभवी SOAP APIs। वे किसी भी नए सुरक्षा मुद्दों को संबोधित नहीं करते हैं। आप पैच डाउनलोड कर सकते हैं और सामुदायिक संस्करण डाउनलोड पृष्ठ / MyAccount से जारी कर सकते हैं और https://magento.com/security/patches/supee-7405 पर अधिक जान सकते हैं ।

कोई SSH पहुँच के साथ मैन्युअल रूप से पैच लागू करना

आपके यहाँ एक अच्छी बात है। पैच को .shफ़ाइलों के रूप में आपूर्ति की जाती है और एफ़टीपी केवल वेबसाइटों के लिए मैगेंटो द्वारा प्रस्तावित समाधान नहीं है।

मेरा सुझाव है कि एक एफ़टीपी के माध्यम से अपनी वेबसाइट के कोड को स्थानीय वातावरण में कॉपी करेगा (आप शायद पहले से ही ऐसा करेंगे)। फिर .shफ़ाइल को चलाकर पैच लागू करें ।

अब आपको यह पता लगाने की आवश्यकता है कि आपको किन फ़ाइलों को फिर से अपलोड करने की आवश्यकता है। यदि आप .shपैच फ़ाइल खोलेंगे , तो आप देखेंगे कि इसमें दो खंड हैं:

1. पैच को लागू करने के लिए बैश शेल कोड। यह कोड हर पैच के लिए सामान्य है।
2. एकीकृत पैच प्रारूप के रूप में वास्तविक पैच । यह फाइलों में केवल उन पंक्तियों को इंगित करता है जिन्हें बदला गया था (कुछ संदर्भ लाइनों सहित)। यह रेखा के नीचे शुरू होता है__PATCHFILE_FOLLOWS__

दूसरे खंड से आप पढ़ सकते हैं कि कौन सी फाइलें पैच से प्रभावित थीं। आपको इन फ़ाइलों को फिर से अपने एफ़टीपी पर अपलोड करने की आवश्यकता है या ... आप बस सब कुछ अपलोड कर सकते हैं।

बैश / शेल के बिना मैन्युअल रूप से आवेदन करना

1. यदि आप .shफ़ाइलें (विंडोज़ में) नहीं चला सकते हैं , तो आप पैच के दूसरे खंड ( एकीकृत पैच ) को निकाल सकते हैं और इसे पैचिंग टूल (या PHPStorm के माध्यम से उदाहरण के लिए ) के साथ मैन्युअल रूप से लागू कर सकते हैं ।
2. वेबसाइट Magentary.com प्रत्येक Magento संस्करण के लिए ज़िप फाइलें प्रदान करता है जिसमें केवल पैच की गई फाइलें होती हैं।

वर्तमान और भविष्य के रिलीज में पैच?

अभी जारी किए गए पैच उन सभी संस्करणों पर लागू होते हैं जो पहले से जारी थे। बेशक, Magento एक नया संस्करण (प्रमुख या मामूली) जारी कर सकता है। तब उनके पास सभी सुरक्षा पैच होंगे क्योंकि मैगेंटो स्वाभाविक रूप से पैच को उनके विकास कोड आधार पर भी लागू करेगा (ये पैच उस कोड आधार से भी उत्पन्न होते हैं;))।

अद्यतन :
प्रत्येक अंतिम पैच Magento ने Magento CE और EE के नए संस्करण भी जारी किए हैं जिनमें पहले से ही विशिष्ट नवीनतम पैच शामिल हैं। Magento डाउनलोड पृष्ठ पर रिलीज़ पुरालेख टैब देखें ।

JH द्वारा अनुरक्षित इस शीट की जांच करें, जिसके लिए पैच लगाने हैं जिसके लिए Magento CE और EE संस्करण: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9dqqqnGfYZnkm4jBlfNaBF19MF19MF19MF19M

दुर्भाग्य से, शेल एक्सेस के बिना इन पैच को स्थापित करने का कोई 'आसान' तरीका नहीं है, लेकिन इसे करने के दो तरीके हैं।

PHP के माध्यम से पैच स्थापित करें

1. अपने Magento फ़ोल्डर की जड़ में विशिष्ट पैच अपलोड करने के लिए एक FTP क्लाइंट का उपयोग करें।
2. PHPpatch.php नामक एक PHP फ़ाइल बनाएँ जो आपके लिए पैच को चलाएगी, और इसे आपके Magento फ़ोल्डर की जड़ में अपलोड करेगी। यदि आप संस्करण 1.8.x-1.9.x के लिए पैच का उपयोग नहीं करते हैं, तो यहां सही पैच नाम का उपयोग करना सुनिश्चित करें

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

3. पर फ़ाइल पर जाएं http://your.domain.com/applypatch.php , और उत्पादन की उम्मीद के रूप में लग रहा है अगर जाँच करें।

मैन्युअल रूप से पैच स्थापित करें

.Sh फ़ाइल में 'DIFF' पैच होता है। ये दिखाते हैं कि कौन सी लाइनें निकाली और जोड़ी गईं। जबकि मैं इसे सलाह नहीं देता, आपको एफ़टीपी के माध्यम से फ़ाइलों को मैन्युअल रूप से डाउनलोड करने में सक्षम होना चाहिए, और इन फ़ाइलों को अपनी पसंद के संपादक में संपादित करना चाहिए, और फिर एफ़टीपी के माध्यम से उन्हें फिर से लोड करना चाहिए। प्रारूप की व्याख्या करना बहुत कठिन नहीं है , इसलिए आप इसे सभी फाइलों के लिए कर सकते हैं और इसके बाद कुछ मिनटों तक और नहीं लेना चाहिए।

मेरे मामले में, मैं संस्करण रखरखाव के लिए बिटबकेट का उपयोग करता हूं और केवल बिटबकेट के माध्यम से अपने परिवर्तन करता हूं।

तो जब मैं पैच लागू करता हूं तो मैं क्या करता हूं, उस पैच को अपने स्थानीय सिस्टम में लागू करें और सभी चीजों का परीक्षण करें। कि मेरी वेबसाइट काम कर रही है।

और सभी chnages को bitbucket पर धकेलें और लाइव साइट पर सभी परिवर्तनों को खींचें और मेरा पैच लगाया गया है।

यदि आप ssh का उपयोग नहीं करते हैं तो आप क्या करते हैं

1) स्थानीय में पैच लागू करें और बिटबकेट में परिवर्तन करें। Bitbucket आपको बताता है कि कौन सी फाइलें अंतिम प्रतिबद्ध से बदल दी गई थीं।

2) एफ़टीपी के माध्यम से उन फ़ाइल को मैन्युअल रूप से अपलोड करें और आपका पैच लागू हो।

Magento के पैच को FTP / sFTP या FileManager / File Upload के माध्यम से लागू करना।

विधि 1: -

इस तरह से पैच लगाने के लिए हम बस बदली हुई फाइलों को बदलते हैं। इस तरह से नेत्रहीन रूप से उपयोग नहीं किया जा सकता है यदि आपने या आपके डेवलपर्स ने किसी भी कोर मैगेंटो फ़ाइलों को बदल दिया है (जो कि एक बड़ा नहीं-नहीं है, वैसे)। इस तरह के बदलावों को पैचेड फ़ाइलों पर फिर से लागू किया जाना चाहिए, या आप इन परिवर्तनों को ढीला कर सकते हैं।

निम्नलिखित पैच डाउनलोड करने के लिए कृपया URL के नीचे जाएँ: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

विधि 2: -

पैच फ़ाइल डाउनलोड करें https://magento.com/tech-resources/download#download1972 मैगेंटो की जड़ में पैच फाइलें अपलोड करें।

Patch.php के नाम से एक फ़ाइल बनाएं, इसमें निम्नलिखित कोड लिखें,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

आप ब्राउज़र से Patch.php चलाते हैं।

यदि आपको इस तरह की त्रुटि हो रही है,

"त्रुटि! कुछ आवश्यक सिस्टम टूल, जो इस sh स्क्रिप्ट में उपयोग किए जाते हैं, इंस्टॉल नहीं किए जाते हैं; टूल (s)" पैच "छूट गए हैं (हैं), कृपया इसे (उन्हें) इंस्टॉल करें।

इसका मतलब है कि सिस्टम स्क्रिप्ट आपके सर्वर में sh स्क्रिप्ट को चलाने के लिए स्थापित नहीं है।

मुझे नहीं लगता कि SSH एक्सेस के बिना ऐसा करना संभव है, लेकिन आप हमेशा cpanel या आपके द्वारा प्राप्त किसी अन्य पैनल पर एक SSH खाता बना सकते हैं और एक बड़ा मौका है कि आप अपने होस्टिंग द्वारा SSH खाता बनाने के लिए ट्यूटोरियल पा सकते हैं। कंपनी सिर्फ "name-of-your-hosting company + ssh create" को google करती है।

पैच डाउनलोड करें (वास्तव में केवल 1, जैसा कि 1 ईई के लिए है और दूसरा सीई के लिए है) सुझाव दें कि आप पहले त्वरित रूप से दौड़ें।

cp -r public_html बैकअप (public_html को पूर्ण Magento स्थापना के साथ बदलें)

पैच को पहले बैकअप डायरेक्टरी में एफ़टीपी करें और बैकअप पर चलाकर सभी ओके चेक करें। sh patchname.sh

सब ठीक है? पैच को अपने वास्तविक इंस्टॉल और रन में बदल दें

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

मार्गदर्शिका यह भी सलाह देती है कि "पैच द्वारा बदली गई फाइलों पर फिर से स्वामित्व रखने के लिए: वेब सर्वर उपयोगकर्ता खोजें: ps -o" उपयोगकर्ता समूह कमांड "-C httpd, apache2 USER कॉलम में मान वेब सर्वर उपयोगकर्ता नाम है। आमतौर पर। CentOS पर Apache वेब सर्वर उपयोगकर्ता Apache है और Ubuntu पर Apache वेब सर्वर उपयोगकर्ता www-data है। रूट विशेषाधिकारों वाले उपयोगकर्ता के रूप में, Magento के इंस्टॉलेशन डायरेक्टरी से निम्न कमांड दर्ज करें: chown -R web-server-user-name। उदाहरण के लिए, उबंटू पर जहां अपाचे आमतौर पर www-data के रूप में चलता है, chown -R www-data दर्ज करें "

मूल कमांड को रूट के रूप में चला रहा है, मुझे केवल उपयोगकर्ता के रूप में रूट मिला है और chown -R रूट को चलाया है और मेरे इंस्टॉल को छोटा कर दिया है, मैंने इसे फिर से उपयोगकर्ता खाते के उपयोगकर्ता नाम के साथ चलाया है और यह सब अच्छा था