26 март 2019, Magento пусна PRODSECBUG-2198 кръпка за защита за фиксиране на SQL уязвимост. Поради тази уязвимост неоторизиран потребител може да изпълни SQL код с потенциална загуба на чувствителни данни. Силно препоръчваме да инсталирате тези пълни лепенки възможно най-скоро.
- PRODSECBUG-2198 информация
- CVSSv3 Тежест: 9 (критично)
- Известни атаки: няма
- Описание: неаутентифициран потребител може да изпълни произволен код чрез уязвимост на SQL, което причинява загуба на чувствителни данни.
- Засегнат продукт: Magento Open Source pre 1.9.4.1 и Magento Commerce преди 1.14.4.1, Magento 2.1 преди 2.1.17, Magento 2.2 преди 2.2.8, Magento 2.3 преди 2.3.1
- Фиксиран в: Magento с отворен код 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Репортер: cfreal
За да инсталирате кръпката PRODSECBUG-2198, просто стартирайте следните точки 6:
- Архивирайте вашата електронна търговия, базирана на Magento: Това е разумна стъпка да архивирате Magento Store преди да приложите някаква лепенка за сигурност, защото вашият магазин може да има някакъв конфликт с файловете Patch;
- Изтеглете пластира от сайта Magento: Изтеглете кръпката PRODSECBUG-2198 от Куай, като изберете правилната версия на вашия магазин Magento и го качете във вашата Magento root папка.
- Нанесете пластира: Достъп до сървъра чрез shell (ssh) и въведете главната директория. Изпълнете следната команда:
- Изчистете Magento Cache: Препоръчваме почистване на кеша на Magento след прилагане на пластира. Можете да изчистите и изчистите административния кеш на Magento или да изпълните следните SSH команди:
-
- php кош / magento кеш: промиване
- php кош / magento кеш: чист
- Потвърдете инсталацията на пластира: Изпълнете следната команда, за да разберете дали пластирът е инсталиран правилно:
-
- греп '|' ап / и т.н. / applied.patches.lis
- Извадете файла Patch: След успешна инсталация на кръпка, можете да премахнете .patch файла от Magento root. Изпълнете следната команда, за да я премахнете с помощта на SSH:
Помислете това:
С горния метод във версията на Magento 2.2 CE може да имате грешка, както следва:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: опцията не е разпозната „–it“
diff: опитайте “diff –help” за повече информация.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: ред 2: index: командата не е намерена
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: ред 3: -: командата не е намерена
За да избегнете тази грешка, изпълнете стъпките по-долу:
- Ако използвате git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- използвайте пластира
Премахнете a / eb / преди маршрутите.
Преместете файла на пластира в Magento root и стартирайте patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Временен иновационен мениджър
3 септември 2019 г., 7:10 ч