26 March 2019, Magento wydał łatkę bezpieczeństwa PRODSECBUG-2198 do naprawy luki SQL. Z powodu tej luki nieuwierzytelniony użytkownik może wykonać kod SQL, co może doprowadzić do utraty poufnych danych. Zdecydowanie zalecamy jak najszybsze zainstalowanie tych kompletnych poprawek.
- Informacje o PRODSECBUG-2198
- CVSSv3 Wskaźnik ważności: 9 (Krytyczny)
- Znane ataki: brak
- Opis: nieuwierzytelniony użytkownik może wykonać dowolny kod przez lukę w zabezpieczeniach SQL, która powoduje utratę poufnych danych.
- Dotyczy produktu: Magento Open Source przed 1.9.4.1 i Magento Commerce przed 1.14.4.1, Magento 2.1 przed 2.1.17, Magento 2.2 przed 2.2.8, Magento 2.3 przed 2.3.1
- Naprawiono w: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporter: cfreal
Aby zainstalować poprawkę PRODSECBUG-2198, po prostu uruchom następujące punkty 6:
- Utwórz kopię zapasową e-commerce opartego na Magento: Mądrze jest wykonać kopię zapasową Magento Store przed zastosowaniem jakiejkolwiek poprawki bezpieczeństwa, ponieważ twój sklep może mieć konflikt z plikami Patch;
- Pobierz łatkę ze strony Magento: Pobierz łatkę PRODSECBUG-2198 z Thu, wybierając odpowiednią wersję sklepu Magento i prześlij ją do folderu głównego Magento.
- Zastosuj łatkę: Uzyskaj dostęp do serwera przez powłokę (ssh) i przejdź do katalogu głównego. Uruchom następujące polecenie:
- Wyczyść pamięć podręczną Magento: Zalecamy wyczyszczenie pamięci podręcznej Magento po nałożeniu łatki. Możesz wyczyścić i wyczyścić pamięć podręczną administratora Magento lub wykonać następujące polecenia SSH:
-
- php bin / magento cache: flush
- pamięć podręczna php bin / magento: czysta
- Potwierdź instalację poprawki: Uruchom następujące polecenie, aby sprawdzić, czy poprawka została poprawnie zainstalowana:
-
- grep „|” app / etc / applied.patches.lis
- Usuń plik poprawki: Po udanej instalacji łatki możesz usunąć plik .patch z katalogu głównego Magento. Uruchom następujące polecenie, aby usunąć go za pomocą SSH:
Rozważ to:
Z powyższą metodą w wersji Magento 2.2 CE możesz mieć następujący błąd:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: nie rozpoznano opcji „–git”
diff: spróbuj „diff –help”, aby uzyskać więcej informacji.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linia 2: indeks: nie znaleziono polecenia
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linia 3: -: nie znaleziono polecenia
Aby uniknąć tego błędu, wykonaj następujące czynności:
- Jeśli używasz git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- użyj łatki
Usuń / eb / przed trasami.
Przenieś plik łaty do katalogu głównego Magento i uruchom patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Tymczasowy kierownik ds. Innowacji