26 marts 2019, Magento har frigivet PRODSECBUG-2198 sikkerhedsrettelsen til rettelse af en SQL-sårbarhed. På grund af denne sårbarhed kan en ikke-godkendt bruger udføre SQL-kode med potentielt tab af følsomme data. Vi anbefaler kraftigt, at du installerer disse komplette programrettelser så hurtigt som muligt.
- PRODSECBUG-2198 Information
- CVSSv3 Alvorlighed: 9 (kritisk)
- Kendte angreb: ingen
- Beskrivelse: en ikke-godkendt bruger kan udføre vilkårlig kode gennem en SQL-sårbarhed, hvilket forårsager et tab af følsomme data.
- Påvirket produkt: Magento Open Source pre-1.9.4.1 og Magento Commerce før 1.14.4.1, Magento 2.1 før 2.1.17, Magento 2.2 før 2.2.8, Magento 2.3 før 2.3.1
- Fast i: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporter: cfreal
For at installere PRODSECBUG-2198-patch, skal du blot køre følgende 6-punkter:
- Sikkerhedskopier din Magento-baserede e-handel: Det er et klogt skridt at tage sikkerhedskopi af Magento Store, før du anvender en sikkerhedspatch, fordi din butik muligvis har en konflikt med Patch-filerne;
- Download programrettelsen fra Magento-webstedet: Download PRODSECBUG-2198 programrettelsen fra qui, vælg den rigtige version af din Magento-butik og upload den til din Magento-rodmappe.
- Påfør plasteret: Åbn serveren via shell (ssh) og gå ind i rodmappen. Kør følgende kommando:
- Ryd din Magento-cache: Vi anbefaler at rengøre Magento-cachen efter påføring af plasteret. Du kan rydde og rydde Magento-admincache eller udføre følgende SSH-kommandoer:
-
- php bin / magento cache: flush
- php bin / magento cache: ren
- Bekræft patchinstallationen: Kør følgende kommando for at vide, om programrettelsen blev installeret korrekt:
-
- grep '|' app / etc / applied.patches.lis
- Fjern patch-filen: Efter vellykket installation af patch, kan du fjerne .patch-filen fra Magento-roden. Kør følgende kommando for at fjerne den ved hjælp af SSH:
Overvej det:
Med ovenstående metode i Magento 2.2 CE-version kan du have en fejl som følger:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: mulighed ikke genkendt “–git”
diff: prøv "diff –help" for at få flere oplysninger.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linje 2: indeks: kommando ikke fundet
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linje 3: -: kommando ikke fundet
Følg nedenstående trin for at undgå denne fejl:
- Hvis du bruger git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- Brug plasteret
Fjern a / eb / før ruterne.
Flyt patch-filen til Magento-roden og kør patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Midlertidig innovationschef