Magento sikkerhedspatch: SUPEE-8788 – Vigtig info omkring patching:

Opdatering 25/10-16 kl. 15.55. Vi har i dag patchet alle Magentohoteller (inkl dev, Shared Plus og Semi-dedikeret). I morgen går turen til de dedikerede servere. Vi starter som i dag kl. 10.00. BEMÆRK. Har du problemer med din uploader i backend efter patchen skal du slette din browsers cache for at få det til at virke igen.

Magento har frigivet en vigtig sikkerhedspatch til magento ver. 1.5.0.1 – 1.9.2.4 (Det vil stort set sige alle versioner)

Da vi tager vores kunders sikkerhed yderst alvorligt, vurderer vi denne patch til at være kritisk nok til at vi patcher alle vores kunder automatisk.

For at kunne patche for SUPEE-8788, forudsætter det at man tidligere har patchet for SUPEE-6788 og SUPEE-7405
Det betyder at vi automatisk patcher din shop med alle 3 patches på tirsdag d. 25. okt. 2016. kl. 10.00

Bemærk at specielt SUPEE-6788 kan introducere ændringer som bryder bagudkompatibilitet for 3.part moduler.
Skulle man ønske at flyve solo og blive ekskluderet fra patching, skal man skrive til: pleasenopatch@powerhosting.dk med det pågældende domæne i subject.

Oplever man at shoppen ikke virker som forventet efter patching, vil det være muligt at rulle patchen 100% tilbage og returnere til tilstanden før patching.
Ruller man tilbage, vil man ligeledes flyve solo og fremadrettet være undtaget for patching. Dvs. man selv skal sørge for at patche.

 

Dette betyder at vi fremover tilbyder 2 patch-tilstande for vores kunder, konkret, fra på tirdag vil der være disse 2 muligheder:
                            -Fuld patchet op med alle patches af os. Alle versioner, Alle patches, Alle installationer på hotellet.
                            -Flyve solo med de risici det indebærer. (skriv til pleasenopatch@powerhosting.dk )

 

Til trods for at det alene er dit ansvar som shopejer at patche, vurderer vi denne patch vigtig nok til at vi ruller den ud for alle vores kunder.
Det betyder ikke at du ikke selv har ansvaret for sikkerheden på din shop. Se: 10 ting du bør gøre for at forbedre din magentos sikkerhed

Procedure for rollback af patch: skriv til support@powerhosting.dk med subject: revert patch: DITDOMÆNENAVN
Bemærk at vi kun patcher dig éen gang, derfor vil vi anbefale at du løser evt. konflikter med 3.parts moduler istedet for at rulle patchen tilbage.
Rulles patchen tilbage, skal du selv sørge for at patche din magento. Det er dit ansvar.
Ovenstående procedure er hurtigere end at ringe ind til supporten og det er den du skal forholde dig til.

 

Når vi har patchet din shop, modtager du en email med nedenstående formulering:

Hej $GENERALNAME

Din Magento, $BASEURL på $HOSTNAME, patchet med en meget vigtig sikkerhedsopdatering af Powerhosting. Der er risiko for at din side ikke fungerer korrekt efter patching. Sørg derfor for at tjekke din side efter i sømmene med det samme. Hvis din side ikke fungerer har du to muligheder. Vi anbefaler at du vælger første mulighed:

1. Kontakt din udvikler, fortæl vedkommende at du er blevet patchet. Henvis til denne side:     https://powerhosting.dk/magento-sikkerhedspatch-supee-8788-vigtig-info-omkring-patching/ og bed udvikleren om at rette moduler mm. til således at de fungerer sammen med patchen.

2. IKKE anbfalet: Skriv til support@powerhosting.dk med emne: revert patch: $BASEURL
Vi ruller herefter patchen tilbage så din side fungerer som før patchen. Bemærk at vi kun patcher dig én gang, derfor vil vi anbefale at du løser evt. konflikter med 3.parts moduler istedet for at rulle patchen tilbage. Rulles patchen tilbage, skal du selv sørge for at patche din magento. Det er dit ansvar, og ind til du får det gjort er din side i stor risiko for angreb.”

Du modtager éen email pr. hotel og installation du har hos os. Dvs. du kan godt modtage mere end een email, det er som forventet.
Af tekniske årsager vil kunder som varetages af resellers, også modtage en mail direkte fra os. Det er som forventet.

 

Ofte stillede spørgsmål: 

Q:  Hvorfor har jeg intet fået at vide om dette ?
A:  Patch-info er meldt ud af os på bloggen, twitter, status, facebook og via. email til udvalgte modtagere.

Q:  Min shop virker ikke, hvad gør jeg ?
A:  Du kontakter dit bureau og beder dem opdatere evt. 3. parts moduler/templates etc. så de er kompatible med SUPEE-6788

Q:  Jeg vil gerne ignorere sikkerheden og køre videre som før, hvordan gør jeg det ?
A:  Se revert-proceduren ovenfor. Bemærk det er ikke er vores anbefaling.

Q:  I driver webhosting, hvorfor interesserer i jer for sikkerheden i min applikation ?
A:  Det gør vi udelukkende for at sikre at vores kunder har de bedste muligheder for at drive forretning og kan fokusere på det.

Q:  Jeg har fået revertet patchen, men vil gerne patches nu alligevel. Hvad gør jeg ?
A:  Du er selv ansvarlig for at patche din installation hvis du er blevet rullet tilbage. Kontakt dit webbureau.

Q:  Hvad sker det ved at ignorere alle disse advarsler og blot køre videre uden patchen ?
A:  Du risikerer at din magento bliver hacket. Det er dit ansvar at mitigere denne trussel.

Q:  Funktion XYZ virkede før i patchede og revertede, hvad gør jeg ?
A:  Har vi rullet patchen retur på din shop, er dens tilstand 100% identisk med tilstanden før patch. Alt som virkede før, virker også efter revert. Også for dig.

Q:  Hvorfor har jeg ikke fået mere tid til at fikse mine 3.parts moduler ?
A:  SUPEE-6788 udkom for 1 år siden. Det bør være rigeligt.

Om forfatter

Dennis Support
bofh@powerhosting

Relaterede artikler

Nyhedsbrev... Privat, sikkert og spam-fri.