Berikut adalah daftar file yang dimodifikasi oleh patch SUPEE-10570:
app/Mage.php
app/code/core/Mage/Admin/Helper/Data.php
app/code/core/Mage/Admin/Model/Block.php
app/code/core/Mage/Admin/Model/Resource/Block.php
app/code/core/Mage/Admin/Model/User.php
app/code/core/Mage/Adminhtml/Block/Catalog/Category/Edit/Form.php
app/code/core/Mage/Adminhtml/Block/Catalog/Product/Grid.php
app/code/core/Mage/Adminhtml/Block/Newsletter/Template/Grid/Renderer/Sender.php
app/code/core/Mage/Adminhtml/Block/Sales/Order/Grid.php
app/code/core/Mage/Adminhtml/Block/Sales/Order/View/Info.php
app/code/core/Mage/Adminhtml/Block/System/Store/Edit/Form.php
app/code/core/Mage/Adminhtml/Block/Tag/Assigned/Grid.php
app/code/core/Mage/Adminhtml/Block/Widget/Grid/Column/Renderer/Store.php
app/code/core/Mage/Adminhtml/Block/Widget/Tabs.php
app/code/core/Mage/Adminhtml/Model/Config/Data.php
app/code/core/Mage/Adminhtml/Model/System/Store.php
app/code/core/Mage/Adminhtml/controllers/Catalog/ProductController.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/System/BackupController.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/Model/Variable.php
app/code/core/Mage/Customer/Helper/Data.php
app/code/core/Mage/Customer/Model/Resource/Customer.php
app/code/core/Mage/Customer/controllers/AccountController.php
app/code/core/Mage/Customer/etc/config.xml
app/code/core/Mage/Customer/sql/customer_setup/upgrade-1.6.2.0.1.1.1-1.6.2.0.1.1.2.php
app/code/core/Mage/Downloadable/etc/config.xml
app/code/core/Mage/Downloadable/etc/system.xml
app/code/core/Mage/Downloadable/sql/downloadable_setup/upgrade-1.6.0.0.2.1.1-1.6.0.0.2.1.2.php
app/code/core/Mage/ImportExport/Model/Import.php
app/code/core/Mage/ImportExport/Model/Import/Entity/Product.php
app/code/core/Mage/Shipping/Model/Info.php
app/code/core/Mage/Widget/controllers/Adminhtml/Widget/InstanceController.php
app/design/adminhtml/default/default/template/catalog/product/attribute/set/main.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/customer/tab/view/sales.phtml
app/design/adminhtml/default/default/template/dashboard/store/switcher.phtml
app/design/adminhtml/default/default/template/downloadable/product/composite/fieldset/downloadable.phtml
app/design/adminhtml/default/default/template/downloadable/product/edit/downloadable/links.phtml
app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/creditmemo/name.phtml
app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/invoice/name.phtml
app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/name.phtml
app/design/adminhtml/default/default/template/newsletter/preview/store.phtml
app/design/adminhtml/default/default/template/report/store/switcher.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/adminhtml/default/default/template/store/switcher.phtml
app/design/adminhtml/default/default/template/store/switcher/enhanced.phtml
app/design/adminhtml/default/default/template/system/convert/profile/wizard.phtml
app/design/adminhtml/default/default/template/tax/rate/title.phtml
app/design/adminhtml/default/default/template/widget/form/renderer/fieldset.phtml
app/locale/en_US/Mage_Catalog.csv
app/locale/en_US/Mage_ImportExport.csv
lib/Zend/Mail/Transport/Sendmail.php
SUNTING
Akhirnya setelah disebarkan di situs web prod saya (CE 1.7.0.2), saya melihat masalah pemblokiran kritis (proses checkout diblokir).
Konteksnya:
setelah alamat langkah 1, saya langsung membuat DAN mencatat pelanggan, ia hanya akan melihat langkah checkout berikutnya.
Masalahnya:
setelah supee-10570, proses checkout rusak setelah langkah 1 (dalam hal pembuatan akun) dan pelanggan dialihkan ke beranda (dengan keranjang belanja kosong + logout) = tidak mungkin mencapai checkout.
Perbaikan darurat:
Jika Anda mengalami masalah serupa dengan checkout / sesi pelanggan Anda, komentari baris 414-430 dari app / code / core / Mage / Core / Model / Session / Abstract / Varien.php (yang ditambahkan oleh tambalan , Lihat di bawah).
// if ($this->useValidateSessionPasswordTimestamp()
// && isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
// && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
// && $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
// > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
// ) {
// return false;
// }
// if ($this->useValidateSessionExpire()
// && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
// && $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] < time() ) {
// return false;
// } else {
// $this->_data[self::VALIDATOR_KEY][self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP]
// = $validatorData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP];
// }
EDIT (2)
Saya pikir kondisi berikut akan selalu mengembalikan false (Mage_Core_Model_Session_Abstract_Varien di baris 414-419, terutama baris 417 + 418).
if ($this->useValidateSessionPasswordTimestamp()
&& isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
&& isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
&& $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
> $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
) {
return false;
VALIDATOR_PASSWORD_CREATE_TIMESTAMP akan selalu lebih besar dari VALIDATOR_SESSION_EXPIRE_TIMESTAMP. Stempel waktu sesi "kedaluwarsa" didefinisikan ulang pada pembuatan akun, jadi pasti lebih tua dari init sesi.
Jadi misalnya jika Anda membuat pelanggan selama checkout, ini akan mengembalikan false dan pelanggan hanya akan ditendang keluar (= mengakhiri checkout, redirect ke beranda & keranjang kosong). Cukup buruk.
Saya telah melaporkan masalah ini ke tim magento. Saya akan memberikan umpan balik di sini secepatnya.
EDIT (3)
Sebuah tambalan baru dihapus (pada halaman unduhan tambalan magento itu tertulis "SUPEE-10570 untuk CE 1.7.0.0 - PATCH DIPERBARUI DIHARAPKAN, JANGAN GUNAKAN (0,06 MB)").
EDIT (4) ~ 1 bulan setelah masalah pemblokiran awal dilaporkan
Hai! Semoga Anda semua barang (dan harap Anda tidak mempertahankan status tambalan awal sampai sekarang, kecuali pendapatan bisnis Anda mungkin sangat menurun ^^).
Saya perhatikan kalimat berikut dari halaman resmi: "Magento sekarang menyediakan tambalan yang diperbarui (SUPEE-10570v2) yang tidak lagi menyebabkan masalah ini. Namun, perhatikan bahwa tambalan baru ini tidak lagi melindungi terhadap dua sesi terkait penanganan risiko rendah yang terkait masalah keamanan yang diproteksi dari SUPEE-10570. " dari halaman resmi supee-10570.
Pada halaman rilis kami akhirnya dapat menemukan file v2 (PATCH_SUPEE-10570_CE_v1.7.0.2_v2-2018-03-29-08-52-37.sh).
Saya telah menyelidiki detail modifikasi. Akhirnya sepertinya tim magento baru saja memutuskan untuk menjatuhkan bagian keamanan patch. Semoga lubang keamanan ini tidak menyebabkan kerusakan serius (kritis rendah menurut catatan resmi).
Setelah mengembalikan v1 + menerapkan v2, harap berhati-hati file-file berikut dikembalikan sebagai keadaan awal (sebelum v1 diterapkan):
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Customer/controllers/AccountController.php
app/code/core/Mage/Customer/Helper/Data.php
app/code/core/Mage/Customer/Model/Resource/Customer.php
PS: jelas beberapa file lain juga dimodifikasi, silakan periksa sesuai.