Es gibt ein neuen Magento Security Patch
Download hier für SSH
https://magento.com/security/patches/supee-9767
Nötig für alle Community Versionen unter Edition 1.9.3.3.
Die Sicherheitslöcher betreffen scheinbar „nur“ Löcher, die es erlauben, dass ein User Admin Zugriff hat.
Hier die Anleitung wie der Suppee-9767 Patch ohne SSH per FTP installiert werden kann
Unter unten geannten Link gibt es den Patch bzw. dessen Dateien für die jeweiligen Magento Versionen.
Die Zip herrunterladen. Dann die im Beitrag genannten Vorbereitungen treffen.
Dann die Zip entpacken und die Ordner schlicht in den root Ordner von Magento laden.
Wichtig(!) erst auf einem Testsystem(!) Es gibt mehre bekannte Probleme vgl. Abschnitt oben.
Download des Patches als FTP Variante
https://magentary.com/kb/install-supee-9767-without-ssh/
(1) Kurzform Installation
-> Cache + Compiler deaktivieren
-> Zip Datei mit passenden Dateien für die eigene Version runterladen
-> Zip Datei entpacken
-> auf einem Testsystem(!!!!) oder lokal
-> Ordner (ohne md5sum und readme) direkt in root von Magento kopieren
-> in Admin einloggen
=> patch ist nun eingespielt. Jetzt fängt aber erst die Arbeit an…
Schritte nach Installation:
(2) Nach der Installation erscheint im Admin folgende Meldung:
Important: Formkey validation on checkout disabled. This may expose security risks. We strongly recommend to Enable Form Key Validation On Checkout in Admin / Security Section, for protect your own checkout process.
Admin -> System -> Konfiguration -> Bereich Advanced -> Reiter Admin -> Tab „Security“=> das aktivieren
(3) Cache und Compiler erneuern
(3) Testen
Nun wird es spannend(!) Je nachdem was und wieviel in den Templates vom Checkout verändert wurde gibt es hier keinerlei Probleme oder muss vieles anpassen.
Beobachtete „Probleme“
(1)Checkout funktioniert nicht (fehlende Formkey in Form Elementen)
Nach(!) Aktivierrung des Formkey Checks über Adminbereich geht der Checkout nicht mehr. bzw. verschiedene Schritte wie Zahlarten, Versandarten werden nicht geladen beim Klick auf Weiter. Ursache ist dort aber nur der fehlende Aufruf de Formkeys.
<?php echo $this->getBlockHtml(‚formkey‘) ?>
Dort die /base Datei mit dem /eigenen Template abgleichen. Oder die eigene Template Datei direkt löschen (wenn nicht benötigt wird). Dann sollte der jeweilige Schritt wieder geladen werden.
(1.1) Checkout – „Checkout Method“ funktioniert nicht
app\design\frontend\XXXX\XXX\template\persistent\checkout\onepage => login.phtml formkey aufruf innerhalb des form elements einbauen
(1.3) Checkout – „Rechnungsinformation“ funktioniert nicht
app\design\frontend\XXXX\XXX\template\persistent\checkout\onepage => billing.phtml formkey aufruf innerhalb des form elements einbauen
(2) nach Aktivierung Formkey für Checkout fliegt man aus Admin
Einfach wieder einloggen und fertig.
Post mit weiteren bereits bekannte Fehlern/Problemen nach Einspielen des SUPEE-9767 Patches
https://magento.stackexchange.com/questions/176871/security-patch-supee-9767-possible-issues
Aufwand Patch einspielen und Nachbearbeitungen
Aktuell sieht es überschaubar aus. Grob 30 Min bis 60 Minuten je Shop. Bisher machten keine Erweiterungen Probleme. Nur Shops mit sehr alter Magento Version und vielen angepassten Templates waren ein Tick aufwändiger. Wir haben jedoch auch ein Repository-System im Einsatz und müssen keine händischen Backups usw. erstellen.