26 Maret 2019, Magento telah merilis patch keamanan PRODSECBUG-2198 untuk memperbaiki kerentanan SQL. Karena kerentanan ini, pengguna yang tidak diautentikasi dapat mengeksekusi kode SQL, dengan potensi hilangnya data sensitif. Kami sangat menyarankan Anda menginstal tambalan lengkap ini sesegera mungkin.
- Informasi PRODSECBUG-2198
- CVSSv3 Severity: 9 (Critical)
- Serangan yang dikenal: tidak ada
- Deskripsi: pengguna yang tidak diautentikasi dapat mengeksekusi kode arbitrer melalui kerentanan SQL, yang menyebabkan hilangnya data sensitif.
- Produk yang terpengaruh: Magento Open Source pra-1.9.4.1 dan Magento Commerce sebelum 1.14.4.1, Magento 2.1 sebelum 2.1.17, Magento 2.2 sebelum 2.2.8, Magento 2.3 sebelum 2.3.1
- Tetap di: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporter: cfreal
Untuk menginstal patch PRODSECBUG-2198, cukup jalankan poin 6 berikut:
- Cadangkan e-commerce berbasis Magento Anda: Merupakan langkah bijak untuk mencadangkan Magento Store sebelum menerapkan patch keamanan apa pun karena toko Anda mungkin memiliki beberapa konflik dengan file Patch;
- Unduh tambalan dari situs Magento: Unduh patch PRODSECBUG-2198 dari di sini, memilih versi yang tepat dari toko Magento Anda dan mengunggahnya ke folder root Magento Anda.
- Terapkan tambalan: Akses server melalui shell (ssh) dan masukkan direktori root. Jalankan perintah berikut:
- Bersihkan Cache Magento Anda: Kami sarankan untuk membersihkan cache Magento setelah menerapkan tambalan. Anda dapat menghapus dan menghapus cache admin Magento atau menjalankan perintah SSH berikut:
-
- cache bin / magento php: flush
- cache bin / magento php: clean
- Konfirmasikan pemasangan tambalan: Jalankan perintah berikut untuk mengetahui apakah patch telah diinstal dengan benar:
-
- grep '|' app / etc / applied.patches.lis
- Hapus file Patch: Setelah instalasi patch berhasil, Anda dapat menghapus file .patch dari root Magento. Jalankan perintah berikut untuk menghapusnya menggunakan SSH:
Pertimbangkan itu:
Dengan metode di atas dalam versi Magento 2.2 CE Anda mungkin memiliki kesalahan sebagai berikut:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opsi tidak dikenali “–git”
diff: coba “diff –help” untuk informasi lebih lanjut.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: baris 2: index: perintah: tidak ditemukan
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: baris 3: -: perintah tidak ditemukan
Untuk menghindari kesalahan ini, ikuti langkah-langkah di bawah ini:
- Jika Anda menggunakan git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- gunakan tambalan
Hapus a / eb / sebelum rute.
Pindahkan file tambalan ke root Magento dan jalankan patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Manajer Inovasi Sementara