Ix-26 March 2019, Magento ħareġ il-garża ta 'sigurtà PRODSECBUG-2198 għall-iffissar ta' vulnerabbiltà SQL. Minħabba din il-vulnerabbiltà, utent mhux awtentikat jista 'jeżegwixxi kodiċi SQL, b'telf potenzjali ta' dejta sensittiva. Nirrakkomandaw bil-qawwa li tinstalla dawn il-garżi kompluti kemm jista 'jkun malajr.
- Informazzjoni PRODSECBUG-2198
- Severità CVSSv3: 9 (Kritika)
- Attakki magħrufa: xejn
- Deskrizzjoni: utent mhux awtentikat jista 'jeżegwixxi kodiċi arbitrarju permezz ta' vulnerabbiltà SQL, li jikkawża telf ta 'dejta sensittiva.
- Prodott affettwat: Magento Open Source pre-1.9.4.1 u Magento Commerce qabel 1.14.4.1, Magento 2.1 qabel 2.1.17, Magento 2.2 qabel 2.2.8, Magento 2.3 qabel 2.3.1
- Iffissat fi: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporter: cfreal
Biex tinstalla l-garża PRODSECBUG-2198, sempliċement imexxi l-punti 6 li ġejjin:
- Backup tal-eCommerce ibbażat fuq Magento: Huwa pass għaqli li tagħmel backup għall-Magento Store qabel ma tapplika kwalunkwe garża ta 'sigurtà minħabba li l-maħżen tiegħek jista' jkollu xi kunflitt mal-fajls Garża;
- Niżżel il-garża mis-sit Magento: Niżżel il-garża PRODSECBUG-2198 qui, tagħżel il-verżjoni t-tajba tal-maħżen Magento tiegħek u ttella 'fil-folder tal-għeruq Magento tiegħek.
- Idlek il-garża: Aċċess is-server permezz tal-qoxra (ssh) u daħħal id-direttorju tal-għeruq. Ħaddem il-kmand li ġej:
- Ħassar il-Cache Magento tiegħek: Nirrakkomandaw li tnaddaf il-cache Magento wara li tapplika l-garża. Tista 'tnaddaf u tnaddaf il-cache tal-amministratur ta' Magento jew teżegwixxi l-kmandi SSH li ġejjin:
-
- php bin / magento cache: laħlaħ
- php bin / cache magento: nadif
- Ikkonferma l-installazzjoni tal-garża: Mexxi l-kmand li ġej biex tkun taf jekk il-garża ġietx installata sewwa:
-
- grep '|' app / eċċ / applied.patches.lis
- Neħħi l-fajl Garża: Wara installazzjoni ta 'garża b'suċċess, tista' tneħħi l-fajl .patch mill-għerq ta 'Magento. Ħaddem il-kmand li ġej biex tneħħih billi tuża SSH:
Ikkunsidra li:
Bil-metodu ta 'hawn fuq fil-verżjoni Magento 2.2 CE jista' jkollok żball kif ġej:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: għażla mhux magħrufa "–git"
diff: ipprova "diff –help" għal aktar informazzjoni.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linja 2: indiċi: kmand mhux misjub
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linja 3: -: il-kmand ma nstabx
Biex tevita dan l-iżball, segwi l-passi hawn taħt:
- Jekk tuża git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- uża l-impjastru
Neħħi a / eb / qabel ir-rotot.
Mexxi l-fajl tal-garża għall-għerq Magento u mexxi l-id patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Maniġer tal-Innovazzjoni Temporanja
3 ta’ Settembru, 2019 7:10pm