26 March 2019, Magento ໄດ້ປ່ອຍໂປແກຼມປ້ອງກັນຄວາມປອດໄພຂອງ PRODSECBUG-2198 ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ຂອງ SQL. ເນື່ອງຈາກຄວາມອ່ອນແອນີ້, ຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບການຢັ້ງຢືນສາມາດປະຕິບັດລະຫັດ SQL, ດ້ວຍການສູນເສຍຂໍ້ມູນທີ່ມີຄວາມລະອຽດ. ພວກເຮົາຂໍແນະ ນຳ ໃຫ້ທ່ານຕິດຕັ້ງແຜ່ນ ສຳ ເລັດຮູບເຫຼົ່ານີ້ໃຫ້ໄວທີ່ສຸດ.
- ຂໍ້ມູນ PRODSECBUG-2198
- ຄວາມຮຸນແຮງຂອງ CVSSv3: 9 (ທີ່ ສຳ ຄັນ)
- ການໂຈມຕີທີ່ຮູ້ຈັກ: ບໍ່ມີ
- ຄຳ ອະທິບາຍ: ຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນສາມາດປະຕິບັດລະຫັດທີ່ຕົນເອງມັກໂດຍຜ່ານຊ່ອງໂຫວ່ຂອງ SQL ເຊິ່ງເຮັດໃຫ້ສູນເສຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ.
- ຜະລິດຕະພັນທີ່ໄດ້ຮັບຜົນກະທົບ: Magento Open Source pre-1.9.4.1 ແລະ Magento Commerce ກ່ອນ 1.14.4.1, Magento 2.1 ກ່ອນ 2.1.17, Magento 2.2 ກ່ອນ 2.2.8, Magento 2.3 ກ່ອນ 2.3.1
- ແກ້ໄຂໃນ: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- ນັກຂ່າວ: cfreal
ເພື່ອຕິດຕັ້ງ PRODSECBUG-2198 patch, ພຽງແຕ່ ດຳ ເນີນຈຸດ 6 ຕໍ່ໄປນີ້:
- ສຳ ຮອງອີຄອມເມີຊທີ່ໃຊ້ Magento ຂອງທ່ານ: ມັນເປັນບາດກ້າວທີ່ສະຫລາດທີ່ຈະ ສຳ ຮອງ Magento Store ກ່ອນທີ່ຈະ ນຳ ໃຊ້ເຄື່ອງປ້ອງກັນຄວາມປອດໄພໃດໆເພາະວ່າຮ້ານຂອງທ່ານອາດຈະມີຄວາມຂັດແຍ້ງກັບແຟ້ມ Patch;
- ດາວໂຫລດເພີ້ມຈາກເວບໄຊທ໌ Magento: ດາວໂຫລດແຜ່ນ PRODSECBUG-2198 ຈາກ qui, ເລືອກຮູບແບບທີ່ຖືກຕ້ອງຂອງຮ້ານ Magento ຂອງທ່ານແລະອັບໂຫລດມັນໃສ່ໂຟນເດີຮາກ Magento ຂອງທ່ານ.
- ນຳ ໃຊ້ແຜ່ນຮອງ: ເຂົ້າໃຊ້ເຊີບເວີຜ່ານຫອຍ (ssh) ແລະເຂົ້າໃນລະບົບຮາກ. ດໍາເນີນການຄໍາສັ່ງດັ່ງຕໍ່ໄປນີ້:
- ລ້າງ Magento Cache ຂອງທ່ານ: ພວກເຮົາແນະ ນຳ ໃຫ້ເຮັດຄວາມສະອາດຖານຄວາມ ຈຳ Magento ຫຼັງຈາກ ນຳ ໃຊ້ patch. ທ່ານສາມາດລ້າງແລະລຶບລ້າງ Magento admin cache ຫຼືປະຕິບັດ ຄຳ ສັ່ງ SSH ຕໍ່ໄປນີ້:
-
- php bin / magento cache: flush
- php bin / cache magento: ເຮັດຄວາມສະອາດ
- ຢືນຢັນການຕິດຕັ້ງເພີ້ມ: ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອຈະຮູ້ວ່າ patch ໄດ້ຖືກຕິດຕັ້ງຢ່າງຖືກຕ້ອງ:
-
- grep '|' app / etc / applied.patches.lis
- ເອົາເອກະສານ Patch ອອກ: ຫຼັງຈາກການຕິດຕັ້ງ patch ສົບຜົນ ສຳ ເລັດ, ທ່ານສາມາດເອົາເອກະສານ .patch ອອກຈາກຮາກ Magento. ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອເອົາມັນອອກໂດຍໃຊ້ SSH:
ພິຈາລະນາວ່າ:
ດ້ວຍວິທີການຂ້າງເທິງນີ້ໃນ Magento 2.2 CE version ທ່ານອາດຈະມີຂໍ້ຜິດພາດດັ່ງຕໍ່ໄປນີ້:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: ຕົວເລືອກທີ່ບໍ່ໄດ້ຮັບຮູ້“ ”git”
diff: ລອງໃຊ້“ diff –help” ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມ.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: ເສັ້ນ 2: ດັດສະນີ: ບໍ່ພົບ ຄຳ ສັ່ງ
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: ເສັ້ນ 3: -: ບໍ່ພົບ ຄຳ ສັ່ງ
ເພື່ອຫລີກລ້ຽງຄວາມຜິດພາດນີ້, ໃຫ້ປະຕິບັດຕາມຂັ້ນຕອນຂ້າງລຸ່ມນີ້:
- ຖ້າທ່ານໃຊ້ git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- ໃຊ້ແຜ່ນຮອງ
ຖອດ a / eb / ກ່ອນເສັ້ນທາງ.
ຍ້າຍເອກະສານ patch ໄປຫາຮາກ Magento ແລະດໍາເນີນການ patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
ຜູ້ຈັດການປະດິດສ້າງຊົ່ວຄາວ
ວັນທີ 3 ກັນຍາ 2019 ເວລາ 7:10 ໂມງ