So überprüfen Sie angewendete Patches in Magento 2

8

Gibt es in Magento 2 eine Möglichkeit, den Status des angewendeten Patches zu überprüfen?

Genau wie können wir den Patch-Status in Magereport in Magento 1 überprüfen ?

— Purushotam Sharma
quelle

4

TL; DR Überprüfen Sie die composer.lockDatei in Magento 2, um festzustellen, ob die neueste Version von magento/product-community-editionderzeit installiert ist.

Tools für Sicherheitsberichte

Lassen Sie mich zunächst erklären, dass Magereport und auch Magentos eigener Sicherheitsscan von außen funktionieren. Diese Tools lösen Anforderungen in Ihren Magento-Installationen wie ein Browser aus. Die Leute, die diese Tools erstellt haben, haben spezielle Tests gefunden, um festzustellen, ob Sie bestimmte Patches angewendet haben, da diese Patches eine Änderung des von außen sichtbaren Codes eingeführt haben sollten (bestimmter JS-Code, Post-Anfragen + Antwort, Dateizugänglichkeit /). Verfügbarkeit).

Jetzt gibt es Patches, die von außen nicht überprüft werden können, einfach weil von außen nichts geändert werden kann, was geändert wurde. Um zu sehen, ob Patches installiert sind, sollten Sie zur Quelle Ihrer Installation (FTP, SFTP, SSH, Git ...) gehen und diese dort überprüfen.

Magento 2 Status

Magento 2 verfügt nicht über Patches in Form von Patch-Dateien, sondern in Form neuer Anwendungsversionen. Es gibt also keinen Ort, an dem nach dem Status des angewendeten Patches gesucht werden kann, da keine Patches vorhanden sind.

Wenn von Magento Sicherheitsprobleme erkannt und gepatcht (behoben) wurden, werden neue Versionen jeder unterstützten Magento 2-Version veröffentlicht. Zum Zeitpunkt des Schreibens sind die Versionen 2.0.17, 2.1.11 und 2.2.2 die neuesten Versionen (siehe Versionshinweise 2.0.x , 2.1.x und 2.2.x ).

Sie sollten die composer.jsonDatei (oder composer.lockDatei) in Ihrer Magento 2-Installation überprüfen und feststellen, welche Version von magento/product-community-edition(oder magento/product-enterprise-edition) sich dort befindet, um festzustellen, welche Version derzeit installiert ist.

— 7ochem
quelle

"Magento 2 hat keine Patches in Form von Patch-Dateien, sondern in Form einer neuen Anwendung" - Ich habe herunterladbare Magento 2-Patch-Dateien gesehen. Es ist dort. Bitte überprüfen Sie meine Antwort. Bei magereport.com oder dem Magento-Sicherheits-Scan-Tool bin ich mir jedoch nicht sicher.

— Kalyan Chakravarthi V

2

Hallo Kalyan, das sind in der Tat Patches von vor einiger Zeit. 3 von 4 dieser Patches dienen zum Patchen des Updaters oder eines Teils, der Sie daran hindert, auf eine neue Version zu aktualisieren. Daher sind die eigentlichen Plattform- (Sicherheits-) Updates und neuen Funktionen immer noch in neuen Versionen enthalten, die Sie über Composer aktualisieren oder als vollständige neue Version herunterladen sollten. Der 4. Patch ist ein Hotfix für diejenigen, die nicht auf die Veröffentlichung von 2.1.7 warten konnten ... Ich denke, das wäre eine einmalige Aktion von Magento gewesen, sie werden das nie wieder tun ...

— 7ochem

Siehe twitter.com/7ochem/status/865176854000533504

— 7ochem

-2

Das Magereport- Portal bietet auch Informationen zu Sicherheitspatches für Magento 2.

— Lalit Kaushik
quelle

Es kann nicht ... Es kann Ihre M2-Version (Bereich) lesen, aber es zeigt immer noch alle M1-Checks an, die natürlich grün sind, da es sich nicht um einen M1-Shop handelt ...

— 7ochem