Magento/Zend XMLRPC 安全漏洞？

Question

Magento/Zend XMLRPC 安全漏洞？

securityzend-frameworkmagentoxml-rpc

7

我有两个Magento商店，看到有一个重要的安全问题被揭示出来。

我已经下载了补丁文件，但似乎无法理解如何正确地打补丁，其中一个商店具有SSH访问的托管 - 但另一个没有。

我应该如何在每台机器上正确地打补丁？

来源：http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability/

- Fran

2个回答

1

FYI，WebGuys提供了一个接口，用于检查您的Magento商店是否存在漏洞：
http://webguys.de/magento-exploit-test/ 为了应用补丁文件，您可以使用以下两种方法之一：
1> 使用SSH并输入以下命令：

patch -p0 < CE_1.5.0.0-1.7.0.1.patch

（确保您已将补丁文件上传到Magento安装的www-root，并从那里运行ssh命令）

2>手动浏览文件：lib/Zend/XmlRpc/Response.php和lib/Zend/XmlRpc/Request.php，并根据.patch文件中的说明添加/删除行。

希望这可以帮助您。

- MagePsycho

+1 用于测试商店是否易受攻击的链接。谢谢@MagePsycho。 - Kamal Joshi

我会对使用这样的服务来测试您的网站漏洞感到有些担忧。我不认识Webguys，所以我并不是在暗示他们会这样做，但是为了不良目的而记录易受攻击的网站将变得非常容易。Magento/Varien本应提供此服务。 - Peter O'Callaghan

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Ben Lessani · Accepted Answer

你有几种方法可以解决这个问题，

对于使用SSH连接的服务器

以下是一个示例，展示如何通过SSH应用补丁文件来修补1.4存储。

cd /home/mystore/public_html
wget -O zendxml_fix.patch  http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.0.0-1.4.1.1.patch
patch -p0 < zendxml_fix.patch

以下是每个补丁的URL：

对于没有SSH的服务器

我们已经下载了所有安装程序并为那些无法访问命令行或patch应用程序的人预先打了补丁。文件内容太大，无法在此处发布，但您可以直接从我们的网站下载它们。

社区版1.4.0.0至1.4.1.1

社区版1.4.2.0

社区版1.5.0.0至1.7.0.1

欲了解更多信息

我们在自己的网站上发布了有关该问题和解决方案的说明：http://www.sonassi.com/knowledge-base/magento-kb/important-magento-security-update-zend-platform-vulnerability/