26 mars 2019, Magento hefur gefið út PRODSECBUG-2198 öryggisplásturinn til að laga SQL varnarleysi. Vegna þessa varnarleysi getur óstaðfestur notandi framkvæmt SQL kóða með hugsanlegu tapi á viðkvæmum gögnum. Við mælum eindregið með að þú setjir upp þessa fullkomnu plástra eins fljótt og auðið er.
- PRODSECBUG-2198 Upplýsingar
- CVSSv3 Alvarleiki: 9 (gagnrýni)
- Þekkt árás: engin
- Lýsing: óstaðfestur notandi getur framkvæmt geðþótta kóða með SQL varnarleysi sem veldur tapi á viðkvæmum gögnum.
- Áhrifavöru: Magento Open Source pre-1.9.4.1 og Magento Commerce fyrir 1.14.4.1, Magento 2.1 fyrir 2.1.17, Magento 2.2 fyrir 2.2.8, Magento 2.3 fyrir 2.3.1
- Fastur í: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Fréttaritari: cfreal
Til að setja upp PRODSECBUG-2198 plásturinn skaltu einfaldlega keyra eftirfarandi 6 stig:
- Taktu öryggisafrit af Magento-byggðri netverslun: Það er skynsamlegt skref að taka öryggisafrit af Magento-versluninni áður en þú notar öryggisplástur þar sem verslunin þín gæti verið í nokkrum átökum við Patch-skrárnar;
- Sæktu plásturinn af Magento vefnum: Sæktu PRODSECBUG-2198 plásturinn frá qui, veldu rétta útgáfu af Magento versluninni þinni og settu hana upp í Magento rótarmöppuna þína.
- Settu plásturinn á: Opnaðu netþjóninn með skel (ssh) og sláðu inn rótaskrána. Keyra eftirfarandi skipun:
- Hreinsaðu Magento skyndiminni: Við mælum með að hreinsa Magento skyndiminnið eftir að plásturinn er settur á. Þú getur hreinsað og hreinsað Magento admin skyndiminni eða framkvæmt eftirfarandi SSH skipanir:
-
- php bin / magento skyndiminni: roði
- php bin / magento skyndiminni: hreinn
- Staðfestu uppsetningu plástursins: Keyra eftirfarandi skipun til að vita hvort plásturinn var settur upp rétt:
-
- grep '|' app / etc / applied.patches.lis
- Fjarlægðu plástursskrána: Eftir vel heppnaða uppsetningu plástra, geturðu fjarlægt .patch skrána frá Magento rótinni. Keyra eftirfarandi skipun til að fjarlægja það með SSH:
Hugleiddu það:
Með ofangreindri aðferð í Magento 2.2 CE útgáfu gætir þú haft villu sem hér segir:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: valkostur ekki viðurkenndur “–git”
diff: reyndu „diff –hjálp“ til að fá frekari upplýsingar.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: lína 2: index: skipun fannst ekki
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: lína 3: -: skipun fannst ekki
Fylgdu skrefunum hér að neðan til að forðast þessa villu:
- Ef þú notar git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- notaðu plásturinn
Fjarlægðu a / eb / áður en leiðirnar fara.
Færðu plástursskrána á Magento rótina og keyrðu patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Tímabundinn nýsköpunarstjóri
3. september 2019 kl. 7:10