26 наурыздағы 2019, Magento SQL осалдығын түзету үшін PRODSECBUG-2198 қауіпсіздік патчін шығарды. Бұл осалдыққа байланысты, аутентификациядан өтпеген пайдаланушы SQL кодын орындай алады, бұл ретте құпия деректердің жоғалуы мүмкін. Осы толық түзетулерді мүмкіндігінше тезірек орнатуды ұсынамыз.
- PRODSECBUG-2198 ақпарат
- CVSSv3 қатаңдығы: 9 (сыни)
- Белгілі шабуылдар: жоқ
- Сипаттама: расталмаған пайдаланушы SQL осалдығы арқылы еркін кодты орындай алады, бұл құпия деректердің жоғалуына әкеледі.
- Әсер етілген өнім: 1.9.4.1-қа дейін Magento ашық көзі және 1.14.4.1-тен Magento Commerce, 2.1-тен Magento 2.1.17, 2.2-тен Magento 2.2.8, 2.3-тен Magento 2.3.1-қа дейін
- Бекітілген: Magento ашық көзі 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Хабарламашы: cfreal
PRODSECBUG-2198 патчін орнату үшін, келесі 6 нүктелерін орындаңыз:
- Magento негізделген электрондық коммерцияның сақтық көшірмесін жасаңыз: Кез-келген қауіпсіздік патчын қолданбас бұрын, Magento дүкенінің сақтық көшірмесін жасау өте дұрыс қадам, себебі сіздің дүкеніңізде Патч файлдарымен келіспеушілік туындауы мүмкін;
- Патентті Magento сайтынан жүктеңіз: PRODSECBUG-2198 патчін жүктеңіз Qui, Magento дүкенінің дұрыс нұсқасын таңдап, оны Magento түбірлік қалтасына жүктеңіз.
- Патчты жағыңыз: Shell (ssh) арқылы серверге кіріп, түбірлік каталогқа кіріңіз. Келесі пәрменді іске қосыңыз:
- Magento кэшін тазалаңызПатч қолданғаннан кейін Magento кэшін тазалауды ұсынамыз. Сіз Magento әкімші кэшін тазалай немесе өшіре аласыз немесе келесі SSH командаларын орындай аласыз:
-
- php bin / magento кэші: жуу
- php bin / magento кэші: таза
- Патчтың орнатылуын растаңыз: Патч дұрыс орнатылғанын білу үшін келесі пәрменді іске қосыңыз:
-
- grep '|' Қолданба / т.б. / applied.patches.lis
- Патч файлын алыңыз: Патчты сәтті орнатқаннан кейін .patch файлын Magento түбірінен жоюға болады. SSH көмегімен оны жою үшін келесі пәрменді іске қосыңыз:
Мұны қарастырайық:
Жоғарыда аталған әдіспен Magento 2.2 CE нұсқасында келесідей қате пайда болуы мүмкін:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
айырмашылығы: опция танылмады “–git”
diff: қосымша ақпарат алу үшін «diff -help» қолданып көріңіз.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: 2 жолы: индекс: команда: табылған жоқ
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: 3 жолы: -: команда табылмады
Бұл қатені болдырмау үшін төмендегі әрекеттерді орындаңыз:
- Егер сіз git қолдансаңыз:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- патчты қолданыңыз
Бағыттардың алдында a / eb / алып тастаңыз.
Патч файлын Magento түбіріне жылжытып, оны іске қосыңыз patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Уақытша инновация менеджері
3 жылғы 2019 қыркүйек 7:10