23. Februar 2016 Update : Der Patch wurde auf V1.1 aktualisiert und behebt eine Reihe wichtiger Probleme, die in diesem Beitrag aufgeführt sind. Hier ist die Liste:
- Patch zum Zusammenführen von Wagen (SUPEE-7978) : Wagen mit identischen Gegenständen werden jetzt korrekt zusammengeführt. Bisher hat Magento beim Zusammenführen eines Einkaufswagens mit einem anderen Einkaufswagen, der denselben Einkaufswagen enthielt, die Gesamtsummen des Einkaufswagens nicht korrekt zusammengeführt. Der Warenkorb enthält nur noch einen Artikel und die Gesamtsumme ist korrekt.
- SOAP-API-Patch (SUPEE-7822) : Die Magento-SOAP-API funktioniert jetzt wie erwartet. Zuvor verursachte eine API-Anforderung nach der Installation des Patches SUPEE-7405 v1.0 einen 500-Fehler und Magento protokollierte eine Ausnahme.
- PHP 5.3-Kompatibilität (SUPEE-7882) : Der Patch war für frühere Versionen von Magento, die diese Version noch unterstützten, nicht mit PHP 5.3 kompatibel. Händler, bei denen dieses Problem auftrat, konnten die Verkaufsinformationen im Administrator nicht anzeigen.
- Dateiberechtigungen zum Hochladen : Der Patch stellt weniger restriktive Dateiberechtigungen wieder her (0666 für Dateien und 0777 für Verzeichnisse), da strengere Berechtigungen, die durch den ursprünglichen SUPEE-7405-Patch eingeführt wurden, dazu führten, dass viele Händler hochgeladene Produktbilder abhängig von der Hosting-Provider-Konfiguration nicht anzeigen konnten .
Nach dem Durchstöbern des Patches sind hier die relevanten / interessanten Dinge aufgeführt, die ich gefunden habe. (Hinweis: Diese Liste wurde durch Analyse des Patches für CE 1.9.2.0-1.9.2.2 erstellt. Es gibt wahrscheinlich mehr für Patches, die ältere Versionen von Magento betreffen.) :
- (behoben in V1.1 des Patches)
Die Verwendung von []anstelle von array()in diesem Patch macht es inkompatibel mit PHP <5.4 (siehe bekannte Probleme unten).
- Wie bereits erwähnt, handelt es sich bei den meisten Änderungen um HTML-Escape-Vorgänge und Datenbereinigungen in Bezug auf XSS-Probleme.
- Form Schlüsselvalidierung hat zur hinzugefügt Admin - Login in
Mage_Admin_Model_Observer
- Form Schlüsselvalidierung wurde hinzugefügt , um das Admin - Passwort vergessen haben , in
Mage_Adminhtml_IndexController
- Die Validierung des Formularschlüssels wurde dem Administrator-Rücksetzpasswort in hinzugefügt
Mage_Adminhtml_IndexController
- Die Überprüfung des Formularschlüssels wurde der Aktion zum Löschen des Frontend-Warenkorbs hinzugefügt . Form Schlüssel wird auf das Mehr
getDeleteUrlvon Mage_Checkout_Block_Cart_Item_Rendererund validiert in deleteActiondem Mage_Checkout_CartController.
- Ereignisse werden jetzt in Kleinbuchstaben ausgegeben (alle betroffenen Konfigurationsdateien wurden geändert, zB
controller_action_postdispatch_checkout_onepage_saveOrderwerden controller_action_postdispatch_checkout_onepage_saveorder). Dies wirkt sich nicht auf die Konfiguration Ihrer lokalen Beobachter aus . Weitere Informationen finden Sie hier: https://twitter.com/foomanNZ/status/689924329065164800
- Es wurde ein neuer Validator hinzugefügt , um zu überprüfen, ob es sich bei einer hochgeladenen Datei um ein Bild handelt :
Mage_Core_Model_File_Validator_Image
- Ein neuer Import / Export-Bereich wird angezeigt:
System => Configuration =>Advanced > System => Escape CSV Fields
- Neue Veranstaltung versandt:
admin_user_validate unterMage_Admin_Model_User
- SVG ist keine gültige Favicon-Erweiterung mehr
- Für diejenigen, die Authorizenet verwenden (ich nicht), scheinen ein paar Änderungen vorgenommen worden zu sein, wobei nicht sicher ist, wie sich dies auf das System auswirkt. Zu den Änderungen gehört ein neuer Admin-Helfer (
Mage_Authorizenet_Helper_Admin), der zum Abrufen der URL für die erfolgreiche Bestellung verwendet wird.
- Neue Zend Klasse:
Zend_Xml_Security . Der Zweck besteht darin, XML-Zeichenfolgen auf potenzielle XXE- und XEE-Angriffe zu durchsuchen. Allerdings habe ich in den anderen geänderten Dateien keinen Hinweis darauf gefunden.
- Über das Admin- Panel hochgeladene Dateien (z. B. Produktbild-Upload) sind jetzt standardmäßig nicht mehr weltweit lesbar (vor: 777 / nach: 640).
- Verzeichnisse sind auch nicht weltweit ausführbar (vor 755 / nach 750). Diese beiden können Probleme mit Bildern verursachen, die nicht auf der Website angezeigt werden, wenn der Webserver als ein anderer Benutzer als PHP ausgeführt wird (Credits: @Rob Mangiafico).
- In Bezug auf Frontend-Vorlagen : Die einzigen Änderungen, die vorgenommen wurden, sind Daten-Escape-Vorgänge , die keine Systemunterbrecher darstellen, aber dennoch für die Implementierung in Ihrem benutzerdefinierten Design empfohlen werden (und nur zwei Frontend-Dateien betreffen nicht so viel Arbeit;))
Bekannte Probleme nach dem Patchen:
Ich werde versuchen, diese Liste so aktuell wie möglich zu halten.
Bevor Sie eine neue Ausgabe / Frage starten, stellen Sie bitte sicher, dass Sie alle vorherigen Patches angewendet haben, da es den Anschein hat, dass viele Probleme von fehlenden Patches herrühren.
Eine andere Sache ist: Wenn Sie Core-Dateien geändert haben, kann das Anwenden des Patches fehlschlagen. Wenn Hunk # failed atbei einer bestimmten Datei ein Fehler auftritt und Sie sich 100% ig sicher sind, dass Sie alle vorherigen Patches installiert haben, überprüfen Sie auf dem Mirror die Originaldatei Ihrer Magento-Version: https://github.com / OpenMage / magento-mirror /
Liste der betroffenen Dateien
Es kann auf dieser Seite hier gefunden werden: https://magento.stackexchange.com/a/98232/2380 (credits @MagenX)
Nur EE
- Wenn Sie von Magento EE 1.14.2.x auf Magento EE 1.14.2.3 aktualisiert haben, anstatt den Patch anzuwenden, und zuvor auch den Support-Patch SUPEE-5984 angewendet haben, müssen Sie ihn erneut anwenden , da er nicht in der Version enthalten ist . => https://magento.stackexchange.com/a/98805/2380
In Bezug auf Patch 7616:
Gute Ressourcen zu Magento-Patches
Fühlen Sie sich frei, mich zu informieren, wenn ich etwas vermisse.
