Comment vérifier les correctifs appliqués dans Magento 2

8

Existe-t-il un moyen dans Magento 2 de vérifier l'état du patch appliqué?

Tout comme nous pouvons vérifier l'état des correctifs dans Magereport dans Magento 1?

magento2 patches security version Purushotam Sharma
la source

Réponses:

4

TL; DR Vérifiez le composer.lockfichier dans Magento 2 pour voir si la dernière version de magento/product-community-editionest actuellement installée.

Outils de rapport de sécurité

Tout d'abord, permettez-moi d'expliquer que Magereport, ainsi que la propre analyse de sécurité de Magento, fonctionnent de "l'extérieur". Ces outils lancent des requêtes sur vos installations Magento comme un navigateur. Les gars qui ont construit ces outils ont trouvé des tests spécifiques à exécuter pour voir si vous avez appliqué certains correctifs, car ces correctifs auraient dû introduire un changement dans le code visible de l'extérieur (certains codes JS, post requêtes + réponse, accessibilité des fichiers / disponibilité).

Il existe maintenant des correctifs qui ne peuvent pas être vérifiés de l'extérieur, tout simplement parce que rien qui a été modifié n'est détectable de l'extérieur. Donc, pour voir si des correctifs sont installés, vous devez vous rendre sur la source de votre installation (FTP, SFTP, SSH, Git ...) et y vérifier.

Statut de Magento 2

Magento 2 n'a pas de correctifs sous forme de fichiers de correctifs, mais sous la forme de nouvelles versions d'application. Il n'y a donc nulle part où vérifier le "statut des correctifs appliqués" car il n'y a pas de correctifs.

Si des problèmes de sécurité ont été détectés et corrigés (résolus) par Magento, ils publieront de nouvelles versions de chaque version de Magento 2 prise en charge. Au moment de la rédaction du présent document, les versions 2.0.17, 2.1.11 et 2.2.2 sont les dernières versions (voir les notes de publication 2.0.x , 2.1.x et 2.2.x ).

Vous devriez vérifier le composer.jsonfichier (ou composer.lockfichier) dans votre installation Magento 2 et voir quelle version de magento/product-community-edition(ou magento/product-enterprise-edition) est là pour voir quelle version est actuellement installée.

7ochem
la source
"Magento 2 n'a pas de correctifs sous forme de fichiers de correctifs, mais sous la forme d'une nouvelle application" - J'ai vu des fichiers de correctifs téléchargeables de Magento 2. C'est là. Veuillez vérifier ma réponse. Mais je ne suis pas sûr de magereport.com ou de l'outil d'analyse de sécurité Magento.
Kalyan Chakravarthi V
2
Salut Kalyan, ce sont en effet des correctifs d'il y a quelque temps. 3 sur 4 de ces correctifs consistent à corriger le programme de mise à jour ou une partie qui vous empêcherait de passer à une nouvelle version. Ainsi, les mises à jour de la plate-forme (sécurité) et les nouvelles fonctionnalités sont toujours intégrées dans de nouvelles versions que vous devez mettre à niveau via Composer ou télécharger en tant que nouvelle version complète. Le 4ème patch est un correctif pour ceux qui ne pouvaient pas attendre la sortie de la 2.1.7 ... Je pense que cela aurait été une action unique de Magento, ils ne le feront plus jamais ...
7ochem
Voir twitter.com/7ochem/status/865176854000533504
7ochem
-2

Le portail Magereport fournit également des informations sur les correctifs de sécurité pour Magento 2.

Lalit Kaushik
la source
Il ne le fait pas ... Il peut lire votre version M2 (gamme), mais il montre toujours tous les chèques M1, qui seront bien sûr verts, car ce n'est pas un magasin M1 ...
7ochem