Tutorial

Come installare Magento 2 Security Patch PRODSECBUG-2198

Il 26 marzo 2019, Magento ha rilasciato la patch di sicurezza PRODSECBUG-2198 per la correzione di una vulnerabilità SQL. A causa di questa vulnerabilità, un utente non autenticato può eseguire del codice SQL, con potenziale perdita di di dati sensibili. Ti consigliamo vivamente di installare queste patch complete il prima possibile.

  • Informazioni PRODSECBUG-2198
  • Gravità CVSSv3: 9 (Critico)
  • Attacchi noti: nessuno
  • Descrizione: un utente non autenticato può eseguire codice arbitrario attraverso una vulnerabilità SQL, che provoca una perdita di dati sensibili.
  • Prodotto interessato: Magento Open Source precedente alla 1.9.4.1 e Magento Commerce precedente alla 1.14.4.1, Magento 2.1 precedente alla 2.1.17, Magento 2.2 precedente alla 2.2.8, Magento 2.3 precedente alla 2.3.1
  • Risolto in: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
  • Reporter: cfreal
 
Potrebbe interessarti anche: Guida completa per la gestione dei contenuti duplicati in Magento
 
Per installare la patch PRODSECBUG-2198, è sufficiente eseguire i 6 punti seguenti:

  • Fai il backup del tuo ecommerce basato su Magento: È un passo saggio eseguire il backup del Magento Store prima di applicare qualsiasi patch di sicurezza perché il tuo negozio potrebbe avere qualche conflitto con i file Patch;
  • Scarica la patch dal sito Magento: Scarica la patch PRODSECBUG-2198 da qui, scegliendo la versione giusta del tuo negozio Magento e caricala nella cartella root del tuo Magento.
  • Applica la patch: Accedi al server mediante shell (ssh) ed entra nella cartella root. Esegui il comando seguente:
    • bash Nome patch
  • Cancella la tua Magento Cache: Si consiglia di pulire la cache di Magento dopo aver applicato la patch. Puoi cancellare e svuotare la cache da admin di Magento o eseguire i seguenti comandi SSH:
    • php bin / magento cache: flush
    • php bin / magento cache: clean
  • Conferma l’installazione della patch: Esegui il comando seguente per sapere se la patch è stata installata correttamente:
    • grep ‘|’ app/etc/applied.patches.lis
  • Rimuovi il file Patch: Al termine dell’installazione corretta della patch, è possibile rimuovere il file .patch dalla radice di Magento. Eseguire il comando seguente per rimuoverlo utilizzando SSH:
    • rm Nome patch
  •  
Potrebbe interessarti anche: Come configurare l’inserimento obbligatorio di un campo com Magento 2
 
Considera che:

Con il metodo sopra nella versione Magento 2.2 CE potresti avere un errore come segue:

sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opzione non riconosciuta “–git”
diff: prova “diff –help” per ulteriori informazioni.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: riga 2: indice: comando non trovato
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: riga 3: -: comando non trovato

Newsletter sull’Innovazione
Non perderti le notizie più importanti sull'Innovazione. Iscriviti per riceverle via e-mail.

Per evitare questo errore, segui i seguenti passi:

  • Se usi git:
    git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
  • usa la patch
    Rimuovere a/ e b/ prima dei percorsi.
    Spostare il file di patch sulla radice di Magento ed eseguire la patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch


Ercole Palmeri

Temporary Innovation Manager

Newsletter sull’Innovazione
Non perderti le notizie più importanti sull'Innovazione. Iscriviti per riceverle via e-mail.
Tags: magento 2

Articoli recenti

Cos’è la Data Orchestration, sfide nella Data Analisys

La Data Orchestration è il processo di spostamento dei dati in silos da più posizioni di archiviazione in un repository…

17 Marzo 2024

Funzioni statistiche di Excel: Tutorial con esempi per la ricerca, quarta parte

Excel fornisce un'ampia gamma di funzioni statistiche che eseguono calcoli dalla media, mediana e moda di base fino alle funzioni…

17 Marzo 2024

Attacchi tramite codici QR: ecco i consigli di Cisco Talos

Quante volte ci è capitato di usare un codice QR per iscriverci a una newsletter, per leggere la programmazione di…

13 Marzo 2024

Non solo ChatGPT, l’education cresce con l’intelligenza artificiale

Nuove applicazioni dell’AI nel caso di studio proposto da Traction Un settore in rapida evoluzione, soprattutto grazie all’apporto fornito dalle…

12 Marzo 2024