Come installare Magento 2 Security Patch PRODSECBUG-2198

magento patches
Formazione

Il 26 marzo 2019, Magento ha rilasciato la patch di sicurezza PRODSECBUG-2198 per la correzione di una vulnerabilità SQL. A causa di questa vulnerabilità, un utente non autenticato può eseguire del codice SQL, con potenziale perdita di di dati sensibili. Ti consigliamo vivamente di installare queste patch complete il prima possibile.

 

  • Informazioni PRODSECBUG-2198
  • Gravità CVSSv3: 9 (Critico)
  • Attacchi noti: nessuno
  • Descrizione: un utente non autenticato può eseguire codice arbitrario attraverso una vulnerabilità SQL, che provoca una perdita di dati sensibili.
  • Prodotto interessato: Magento Open Source precedente alla 1.9.4.1 e Magento Commerce precedente alla 1.14.4.1, Magento 2.1 precedente alla 2.1.17, Magento 2.2 precedente alla 2.2.8, Magento 2.3 precedente alla 2.3.1
  • Risolto in: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
  • Reporter: cfreal
 
Potrebbe interessarti anche: Guida completa per la gestione dei contenuti duplicati in Magento
 
Per installare la patch PRODSECBUG-2198, è sufficiente eseguire i 6 punti seguenti:

 

  • Fai il backup del tuo ecommerce basato su Magento: È un passo saggio eseguire il backup del Magento Store prima di applicare qualsiasi patch di sicurezza perché il tuo negozio potrebbe avere qualche conflitto con i file Patch;
  • Scarica la patch dal sito Magento: Scarica la patch PRODSECBUG-2198 da qui, scegliendo la versione giusta del tuo negozio Magento e caricala nella cartella root del tuo Magento.
  • Applica la patch: Accedi al server mediante shell (ssh) ed entra nella cartella root. Esegui il comando seguente:
    • bash Nome patch
  • Cancella la tua Magento Cache: Si consiglia di pulire la cache di Magento dopo aver applicato la patch. Puoi cancellare e svuotare la cache da admin di Magento o eseguire i seguenti comandi SSH:
    • php bin / magento cache: flush
    • php bin / magento cache: clean
  • Conferma l’installazione della patch: Esegui il comando seguente per sapere se la patch è stata installata correttamente:
    • grep ‘|’ app/etc/applied.patches.lis
  • Rimuovi il file Patch: Al termine dell’installazione corretta della patch, è possibile rimuovere il file .patch dalla radice di Magento. Eseguire il comando seguente per rimuoverlo utilizzando SSH:
    • rm Nome patch
  •  
Potrebbe interessarti anche: Come configurare l’inserimento obbligatorio di un campo com Magento 2
 
Considera che:

Con il metodo sopra nella versione Magento 2.2 CE potresti avere un errore come segue:

sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opzione non riconosciuta “–git”
diff: prova “diff –help” per ulteriori informazioni.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: riga 2: indice: comando non trovato
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: riga 3: -: comando non trovato

Per evitare questo errore, segui i seguenti passi:

  • Se usi git:
    git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
  • usa la patch
    Rimuovere a/ e b/ prima dei percorsi.
    Spostare il file di patch sulla radice di Magento ed eseguire la patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch


Ercole Palmeri

Temporary Innovation Manager

Nessun commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

cosa-vuol-dire-sarti-seguire
Formazione
Cosa vuol dire farti seguire, in azienda…

Io ho imparato a guidare ai tempi in cui non esisteva il navigatore. E, per la verità, non esisteva nemmeno Google Maps! Andare a trovare i clienti era impresa ardua e bisognava affidarsi alle informazioni cartacee: piantine, cartine stradali e Tuttocittà. E quando un collega o un conoscente diceva: seguimi…ti …

anatra nemico alleato
Formazione
Se il tuo nemico diventa un alleato

Due anni fa, una classe quinta di un Liceo Classico dell’Istituto di Istruzione Superiore “G. Luosi” di Mirandola (MO) mi chiamava “prof”. Per 8 mesi ho collaborato con la prof. di inglese come consulente per un laboratorio di comunicazione. “Chiamatemi pure Emanuela, non sono una docente”, ho replicato io al primo …

Incontro Trieste MBA
Digitale
WEB REPUTATION E RICERCA DEL LAVORO: LA GRANDE SFIDA

Un tempo si temeva l’ascolto da remoto attraverso l’intercettazione ambientale o quella telefonica. Negli anni Novanta si fantasticava sulle sorti del pensiero distopico del grande fratello orwelliano divenuto così improvvisamente ingombrante con la realizzazione dell’apparato sorvegliante di Echelon. Tutti erano possibili bersagli ma nella massa, dietro l’ombra dei grandi numeri, …