O 26 March 2019, Magento lanzou o parche de seguridade PRODSECBUG-2198 para solucionar unha vulnerabilidade SQL. Por mor desta vulnerabilidade, un usuario non autenticado pode executar código SQL, coa posible perda de datos sensibles. Recomendamos encarecidamente que instale estes parches completos canto antes.
- Información PRODSECBUG-2198
- CVSSv3 Severidade: 9 (Crítico)
- Ataques coñecidos: ningún
- Descrición: un usuario non autenticado pode executar código arbitrario mediante unha vulnerabilidade SQL, o que causa unha perda de datos sensibles.
- Produto afectado: Magento Open Source pre-1.9.4.1 e Magento Commerce antes de 1.14.4.1, Magento 2.1 anteriores a 2.1.17, Magento 2.2 anteriores a 2.2.8, Magento 2.3 anteriores a 2.3.1
- Fixado en: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporteiro: cfreal
Para instalar o parche PRODSECBUG-2198, simplemente execute os seguintes puntos 6:
- Fai unha copia de seguridade do teu comercio electrónico baseado en Magento: É un paso prudente facer unha copia de seguridade de Magento Store antes de aplicar calquera parche de seguridade porque a túa tenda podería ter algún conflito cos ficheiros Patch;
- Descarga o parche do sitio de Magento: Descarga o parche PRODSECBUG-2198 Xov, escolle a versión correcta da túa tenda Magento e carga á túa carpeta raíz de Magento.
- Aplique o parche: Acceda ao servidor a través de shell (ssh) e entra no directorio raíz. Executa o seguinte comando:
- Limpar a caché de Magento: Recomendamos limpar a caché de Magento despois de aplicar o parche. Pode limpar e eliminar a caché de administración de Magento ou executar os seguintes comandos SSH:
-
- php bin / magento cache: rubor
- php bin / magento cache: limpo
- Confirme a instalación do parche: Executa o seguinte comando para saber se o parche se instalou correctamente:
-
- grep '|' App / etc / applied.patches.lis
- Elimina o ficheiro de parche: Despois da instalación correcta do parche, pode eliminar o ficheiro .patch da raíz de Magento. Executa o seguinte comando para eliminarlo mediante SSH:
Considere que:
Co método anterior na versión Magento 2.2 CE pode ter un erro do seguinte xeito:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opción non recoñecida "–git"
diff: proba "diff –help" para obter máis información.
PRODSECBUG-2198-2.2-CE.compositor-2019-03-27-06-12-19.patch: liña 2: index: non se atopou o comando
PRODSECBUG-2198-2.2-CE.compositor-2019-03-27-06-12-19.patch: liña 3: -: non se atopou o comando
Para evitar este erro, siga os pasos seguintes:
- Se empregas git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- use o parche
Elimina a / eb / antes das rutas.
Mova o ficheiro de parche á raíz de Magento e executa o patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Xerente de innovación temporal
3 de setembro de 2019 ás 7:10