26 marta 2019 Magento ir izlaidis PRODSECBUG-2198 drošības ielāpu SQL ievainojamības novēršanai. Šīs ievainojamības dēļ neautentificēts lietotājs var izpildīt SQL kodu, iespējams, zaudējot sensitīvus datus. Mēs ļoti iesakām pēc iespējas ātrāk instalēt šos pilnos ielāpus.
- Informācija par PRODSECBUG-2198
- CVSSv3 smagums: 9 (kritisks)
- Zināmi uzbrukumi: nav
- Apraksts: neautentificēts lietotājs var izpildīt patvaļīgu kodu, izmantojot SQL ievainojamību, kas izraisa sensitīvu datu zaudēšanu.
- Ietekmētais produkts: Magento Open Source pre-1.9.4.1 un Magento Commerce pirms 1.14.4.1, Magento 2.1 pirms 2.1.17, Magento 2.2 pirms 2.2.8, Magento 2.3 pirms 2.3.1.
- Fiksēts: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Ziņotājs: cfreal
Lai instalētu PRODSECBUG-2198 plāksteri, vienkārši palaidiet šādus 6 punktus:
- Dublējiet ar Magento balstīto e-komerciju: Ir saprātīgs solis, lai dublētu Magento veikalu pirms jebkāda drošības ielāpa uzlikšanas, jo jūsu veikalam var būt konflikts ar Patch failiem;
- Lejupielādējiet plāksteri no Magento vietnes: Lejupielādējiet PRODSECBUG-2198 plāksteri no PVO, izvēloties pareizo Magento veikala versiju un augšupielādējiet to Magento saknes mapē.
- Uzlieciet plāksteri: Piekļūstiet serverim, izmantojot apvalku (ssh), un ievadiet saknes direktoriju. Izpildiet šo komandu:
- Notīriet Magento kešatmiņu: Mēs iesakām iztīrīt Magento kešatmiņu pēc plākstera uzlikšanas. Varat notīrīt un notīrīt Magento administratora kešatmiņu vai izpildīt šādas SSH komandas:
-
- php bin / magento cache: skalošana
- php bin / magento kešatmiņa: tīra
- Apstipriniet plākstera uzstādīšanu: Izpildiet šo komandu, lai uzzinātu, vai plāksteris ir instalēts pareizi:
-
- grep '|' APP / etc / applied.patches.lis
- Noņemiet Patch failu: Pēc veiksmīgas plākstera instalēšanas jūs varat noņemt .patch failu no Magento saknes. Izpildiet šo komandu, lai to noņemtu, izmantojot SSH:
Apsveriet to:
Izmantojot šo metodi Magento 2.2 CE versijā, jums var būt šāda kļūda:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opcija netiek atzīta “–git”
diff: lai iegūtu vairāk informācijas, izmēģiniet “diff –help”.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: 2 rinda: indekss: komanda nav atrasta
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: rindiņa 3: -: komanda nav atrasta
Lai izvairītos no šīs kļūdas, rīkojieties šādi:
- Ja jūs izmantojat git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- izmantojiet plāksteri
Pirms maršrutiem noņemiet a / eb /.
Pārvietojiet ielāpa failu uz Magento sakni un palaidiet patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Pagaidu inovāciju vadītājs
3. gada 2019. septembris, 7:10