26 March 2019, Magento a publié le correctif de sécurité PRODSECBUG-2198 pour la correction d'une vulnérabilité SQL. En raison de cette vulnérabilité, un utilisateur non authentifié peut exécuter du code SQL, avec une perte potentielle de données sensibles. Nous vous recommandons vivement d’installer ces correctifs complets dès que possible.
- Informations sur PRODSECBUG-2198
- Gravité CVSSv3: 9 (Critique)
- Attaques connues: aucune
- Description: un utilisateur non authentifié peut exécuter du code arbitraire via une vulnérabilité SQL, ce qui entraîne une perte de données sensibles.
- Produit concerné: Magento Open Source pré-1.9.4.1 et Magento Commerce avant 1.14.4.1, Magento 2.1 avant 2.1.17, Magento 2.2 avant 2.2.8, Magento 2.3 avant 2.3.1
- Correction dans: 1.9.4.1 Open Source Magento, 1.14.4.1 Magento Commerce, SUPEE-11086, 2.1.17 Magento, 2.2.8 Magento, Magento 2.3.1
- Reporter: cfreal
Pour installer le correctif PRODSECBUG-2198, exécutez simplement les points 6 suivants:
- Sauvegardez votre commerce électronique basé sur Magento: Il est judicieux de sauvegarder le magasin Magento avant d’appliquer un correctif de sécurité, car votre magasin pourrait être en conflit avec les fichiers du correctif;
- Téléchargez le patch sur le site de Magento: Téléchargez le correctif PRODSECBUG-2198 à partir de ici, choisissez la bonne version de votre magasin Magento et chargez-la dans votre dossier racine Magento.
- Appliquer le patch: Accédez au serveur via shell (ssh) et entrez le répertoire racine. Exécutez la commande suivante:
- Videz votre cache Magento: Nous vous recommandons de nettoyer le cache de Magento après l’application du correctif. Vous pouvez effacer et effacer le cache de l'administrateur Magento ou exécuter les commandes SSH suivantes:
-
- cache php bin / magento: vidage
- cache php bin / magento: propre
- Confirmez l'installation du correctif: Exécutez la commande suivante pour savoir si le correctif a été installé correctement:
-
- grep '|' app / etc / applied.patches.lis
- Supprimer le fichier de correctif: Une fois le correctif installé, vous pouvez supprimer le fichier .patch de la racine Magento. Exécutez la commande suivante pour le supprimer à l'aide de SSH:
Considérer que:
Avec la méthode ci-dessus dans la version CE de Magento 2.2, vous pouvez avoir une erreur comme suit:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: option non reconnue “–git”
diff: essayez “diff –help” pour plus d'informations.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12.patch: ligne 19: index: commande non trouvée
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12.patch: ligne 19: -: commande introuvable
Pour éviter cette erreur, suivez les étapes ci-dessous:
- Si vous utilisez git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- utiliser le patch
Supprimez a / e / avant les routes.
Déplacez le fichier de correctif vers la racine Magento et lancez le patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Responsable Innovation Temporaire