مجنتو پچ های جدیدی برای مشکلات امنیتی اخیر خود ارائه کرده است، که شامل تمام ورژن های مجنتو CE و EE می شود. در این نوشته آموزش نصب بسته های امنیتی مجنتو را مشاهده خواهید کرد. در این پچ ها، راههای نفوذ خطرناکی مثل “XSS” و “Sql Injection” رفع شده اند. بطور خلاصه پچ SUPEE-5994 مشکلات امنیتی مانند، خواندن اطلاعات کاربر و یا ساخت کاربر ادمین را رفع می کند. پیشنهاد می کنیم هرچه سریعتر این بسته ها روی فروشگاه مجنتو خود، نصب کنید.
پچ ها به صورت فایل های “.sh” ارائه شده اند. برای اعمال پچ ها ابتدا از طریق این صفحه پچ ها را دانلود کنید، سپس فایل “.sh” را در پوشه “root” مجنتو قرار دهید و آن را اجرا کنید.
پچ SUPEE-5344
ابتدا باید ببینید که از چه نسخه مجنتو ای استفاده می کنید، نسخه مجنتو را در کنترل پنل مدیریت مجنتو و در فوتر مشخص است. اگر از نسخه ۱.۹.۱.۱ استفاده میکنید، نیاز به نصب بسته ۵۳۴۴ ندارید. ولی اگر از نسخه های قدیمی تر مثل ۱.۹.۱.۰ استفاده میکنید، باید این بسته(SUPEE-5344) و بسته ۵۹۹۴ را نیز نصب کنید.
برای آزمایش نفوذ این نسخه ها، به این وبسایت بروید و آدرس فروشگاهتان را برای بررسی پچ SUPEE-5344 در فرم مشخص شده وارد کنید. همپنین می توانید از طریق این صفحه فروشگاه های پچ نشده را به صورت زنده ببینید. پچ SUPEE-5344 بروی فروشگاه های با ورژن ۱.۹.۱.۱ به صورت پیش فرض نصب شده است. این مشکلات امنیتی در مجنتو، به هکر اجازه ایجاد کاربر ادمین فروشگاه را میدهد که با این نصب این پچ مشکل حل شده است. برای اطلاعات بیشتر در مورد پچ امنیتی SUPEE-5344 می توانید این مقاله ها را مطالعه کنید:
http://www.checkpoint.com/defense/advisories/public/2015/cpai-2015-0108-2.html
http://www.checkpoint.com/defense/advisories/public/2015/cpai-2015-0106-2.html
http://www.checkpoint.com/defense/advisories/public/2015/cpai-2015-0107-2.html
پچ SUPEE-5994
با توجه به لیست مشکلات مطرح شده در اینجا، ۸ مورد امنیتی مورد بررسی قرار گرفته اند:
۱. فاش شدن آدرس صفحه ورود به مدیریت
۲. فاش شدن اطلاعات تماس و ارسال کاربر از طریق صفحه “Checkout”
۳. فاش شدن اطلاعات کاربر از طریق “Recurring Profile” یا خرید های دوره ای
۴. فاش شدن آدرس اصلی فایل ها با استفاده از مدیا های کش شده
۵. مشکل امنیتی (XSS) در صفحه “Magento Downloader”
۶. مشکل امنیتی در هنگام خروجی گرفتن از لیست صورت حساب ها به صورت CSV
۷. مشکل امنیتی (XSS) از طریق ماژول “Authorize.Net”
۸. بعضی از پکیج های مازول های مشکل دار دسترسی “Overwrite” بروی فایل های اصلی مجنتو را دارند.
لیستی از فایل های تغییر داده شده در این پچ را نیز می توانید ببینید:
app/code/core/Mage/Authorizenet/controllers/Directpost/PaymentController.php app/code/core/Mage/Core/Controller/Varien/Router/Admin.php app/code/core/Mage/Core/Controller/Varien/Router/Standard.php app/code/core/Mage/Customer/Model/Customer.php app/code/core/Mage/Dataflow/Model/Convert/Parser/Csv.php app/code/core/Mage/ImportExport/Model/Export/Adapter/Csv.php app/code/core/Mage/Install/Controller/Router/Install.php app/code/core/Mage/Install/etc/config.xml app/code/core/Mage/Sales/controllers/Recurring/ProfileController.php downloader/Maged/Model/Connect.php downloader/Maged/View.php downloader/template/connect/packages_prepare.phtml downloader/template/messages.phtml get.php lib/PEAR/PEAR/PEAR.php lib/PEAR/PEAR/PEAR5.php lib/Varien/Io/File.php
پچ SUPEE-6237
در اواخر می سال جاری “USPS” نرخ های ارسال بسته خود را تغییر داده که با توجه به این تغییرات، مجنتو نیز این تغییرات را در سیستم خودش انجام داده است. تغییر اصلی برای بسته “ارسالی و دریافتی” از کانادا و بسته های “ارسالی و دریافتی” بین کانادا و آمریکا می باشد. برای اطلاعات بیتشر می توانید به سایت USPS.com بروید.
لیست فایل های تغییر داده شده در این پچ:
app/code/core/Mage/Usa/Model/Shipping/Carrier/Abstract.php app/code/core/Mage/Usa/Model/Shipping/Carrier/Usps.php
سخن پایانی
حتما به این توصیه ها عمل کرده و مجنتو خود را بروز کنید. اطلاعات مشتری ها، میزان فروش، فاکتورها، اطلاعات درگاه های بانکی و …، همه در خطر استفاده غیر مجاز قرار دارند. سعی کنید اعتبار خود و فروشگاهتان را خراب نکنید! اگر برای آپدیت کردن و نصب این پچ های امنیتی مشکل داشتید در نظرات اعلام کنید تا فایهای مورد نظر برای شما ارسال شود.
نظرات کاربران
نظر خود را بفرستید:
آدرس ایمیل شما منتشر نخواهد شد.