Come installare Magento 2 Security Patch PRODSECBUG-2198

Il 26 marzo 2019, Magento ha rilasciato la patch di sicurezza PRODSECBUG-2198 per la correzione di una vulnerabilità SQL. A causa di questa vulnerabilità, un utente non autenticato può eseguire del codice SQL, con potenziale perdita di di dati sensibili. Ti consigliamo vivamente di installare queste patch complete il prima possibile.

• Informazioni PRODSECBUG-2198
• Gravità CVSSv3: 9 (Critico)
• Attacchi noti: nessuno
• Descrizione: un utente non autenticato può eseguire codice arbitrario attraverso una vulnerabilità SQL, che provoca una perdita di dati sensibili.
• Prodotto interessato: Magento Open Source precedente alla 1.9.4.1 e Magento Commerce precedente alla 1.14.4.1, Magento 2.1 precedente alla 2.1.17, Magento 2.2 precedente alla 2.2.8, Magento 2.3 precedente alla 2.3.1
• Risolto in: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
• Reporter: cfreal

Potrebbe interessarti anche: Guida completa per la gestione dei contenuti duplicati in Magento

Per installare la patch PRODSECBUG-2198, è sufficiente eseguire i 6 punti seguenti:

• Fai il backup del tuo ecommerce basato su Magento: È un passo saggio eseguire il backup del Magento Store prima di applicare qualsiasi patch di sicurezza perché il tuo negozio potrebbe avere qualche conflitto con i file Patch;
• Scarica la patch dal sito Magento: Scarica la patch PRODSECBUG-2198 da qui, scegliendo la versione giusta del tuo negozio Magento e caricala nella cartella root del tuo Magento.
• Applica la patch: Accedi al server mediante shell (ssh) ed entra nella cartella root. Esegui il comando seguente:

• • bash Nome patch

• Cancella la tua Magento Cache: Si consiglia di pulire la cache di Magento dopo aver applicato la patch. Puoi cancellare e svuotare la cache da admin di Magento o eseguire i seguenti comandi SSH:

• • php bin / magento cache: flush
  • php bin / magento cache: clean

• Conferma l’installazione della patch: Esegui il comando seguente per sapere se la patch è stata installata correttamente:

• • grep ‘|’ app/etc/applied.patches.lis

• Rimuovi il file Patch: Al termine dell’installazione corretta della patch, è possibile rimuovere il file .patch dalla radice di Magento. Eseguire il comando seguente per rimuoverlo utilizzando SSH:

• • rm Nome patch
•  

Potrebbe interessarti anche: Come configurare l’inserimento obbligatorio di un campo com Magento 2

Considera che:

Con il metodo sopra nella versione Magento 2.2 CE potresti avere un errore come segue:

sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opzione non riconosciuta “–git”
diff: prova “diff –help” per ulteriori informazioni.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: riga 2: indice: comando non trovato
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: riga 3: -: comando non trovato

Per evitare questo errore, segui i seguenti passi:

• Se usi git:
  git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
• usa la patch
  Rimuovere a/ e b/ prima dei percorsi.
  Spostare il file di patch sulla radice di Magento ed eseguire la patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch

Ercole Palmeri

Temporary Innovation Manager