3-р сарын 26 2019, Magento нь SQL-ийн эмзэг байдлыг засах зорилгоор PRODSECBUG-2198 аюулгүй байдлын нөхөөсийг гаргав. Энэ эмзэг байдлаас болж, баталгаажаагүй хэрэглэгч SQL кодыг ажиллуулж, улмаар нууц мэдээллийг алдах магадлалтай байдаг. Эдгээр бүрэн засваруудыг аль болох хурдан суулгахыг зөвлөж байна.
- PRODSECBUG-2198 мэдээлэл
- CVSSv3-ийн ноцтой байдал: 9 (Чухал)
- Мэдэгдэж байгаа халдлагууд: аль нь ч биш
- Тайлбар: Зөвшөөрөлгүй хэрэглэгч нь SQL-ийн эмзэг байдлыг ашиглан дур зоргоороо кодыг гүйцэтгэх боломжтой бөгөөд энэ нь эмзэг өгөгдөл алдагдахад хүргэдэг.
- Нөлөөлөлд өртсөн бүтээгдэхүүн: 1.9.4.1-ээс өмнө Magento нээлттэй эх сурвалж, 1.14.4.1-ээс өмнөх Magento 2.1, 2.1.17-ээс өмнөх Magento 2.2, 2.2.8-ээс өмнөх Magento 2.3
- Суурин: Magento нээлттэй эх сурвалж 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Сурвалжлагч: cfreal
PRODSECBUG-2198 нөхөөсийг суулгахын тулд дараах 6 цэгүүдийг ажиллуулаарай.
- Magento-д суурилсан цахим худалдаагаа нөөцөлж ав: Ямар нэгэн хамгаалалтын нөхөөсийг хийхээс өмнө Magento Store-ыг нөөцлөх нь ухаалаг алхам бөгөөд учир нь таны дэлгүүр Patch файлуудтай зөрчилдөж болзошгүй юм;
- Нөхөөсийг Magento сайтаас татаж аваарай: PRODSECBUG-2198 нөхөөс татаж авах Qui, Magento дэлгүүрийнхээ зөв хувилбарыг сонгоод Magento root хавтсанд байршуулаарай.
- Нөхөөсийг түрхэнэ: Серверт shell (ssh) -ээр хандаж үндсэн директор руу орно. Дараах тушаалыг ажиллуулна уу.
- Magento кэшийг цэвэрлэнэ үү: Бид нөхөөсийг хэрэглэсний дараа Magento кэшийг цэвэрлэхийг зөвлөж байна. Та Magento админ кэшийг цэвэрлэж, цэвэрлэж эсвэл дараах SSH командуудыг гүйцэтгэж болно.
-
- php bin / magento кэш: урсгал
- php bin / magento кэш: цэвэр
- Нөхөөс суурилуулалтыг баталгаажуулна уу: Нөхөөс зөв суулгасан эсэхийг мэдэхийн тулд дараах тушаалыг ажиллуулна уу.
-
- grep '|' апп / гэх мэт / applied.patches.lis
- Patch файлыг устгана уу: Засал чимэглэлийг амжилттай суулгасны дараа .patch файлыг Magento-ийн үндэснээс устгах боломжтой. SSH ашиглан үүнийг устгахын тулд дараах командыг ажиллуулна уу.
Үүнийг анхаарч үзээрэй:
Дээрх аргыг Magento 2.2 CE хувилбар дээр дараахь байдлаар алдаа гарч магадгүй юм.
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
ялгаатай: сонголтыг хүлээн зөвшөөрдөггүй "-git"
diff: дэлгэрэнгүй мэдээллийг "diff -help" ашиглаж үзнэ үү.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: мөр 2: индекс: тушаал олдсонгүй
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: мөр 3: -: тушаал олдсонгүй
Энэ алдаанаас зайлсхийхийн тулд доорх алхамуудыг дагана уу.
- Хэрэв та git ашигладаг бол:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- нөхөөсийг ашиглах
Маршрутын өмнө a / eb / -ийг устгана уу.
Patch файлыг Magento үндэс рүү шилжүүлж ажиллуул patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Түр инновацийн менежер
3 оны 2019-р сарын 7-ны 10:XNUMX