O 26 de março do 2019, Magento lançou o patch de segurança PRODSECBUG-2198 para corrigir uma vulnerabilidade SQL. Devido a essa vulnerabilidade, um usuário não autenticado pode executar código SQL, com possível perda de dados confidenciais. É altamente recomendável que você instale esses patches completos o mais rápido possível.
- Informações sobre PRODSECBUG-2198
- Gravidade CVSSv3: 9 (Crítica)
- Ataques conhecidos: nenhum
- Descrição: um usuário não autenticado pode executar código arbitrário por meio de uma vulnerabilidade SQL, o que causa perda de dados confidenciais.
- Produto afetado: Magento Open Source pré-1.9.4.1 e Magento Commerce antes do 1.14.4.1, Magento 2.1 antes do 2.1.17, Magento 2.2 antes do 2.2.8, Magento 2.3 antes do 2.3.1
- Corrigido: Fonte aberta Magento 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Repórter: cfreal
Para instalar o patch PRODSECBUG-2198, basta executar os seguintes pontos 6:
- Faça backup do seu comércio eletrônico baseado em Magento: É um passo sensato para fazer backup da Magento Store antes de aplicar qualquer patch de segurança, pois sua loja pode ter algum conflito com os arquivos do Patch;
- Faça o download do patch no site Magento: Faça o download do patch PRODSECBUG-2198 em aqui, escolhendo a versão correta da sua loja Magento e faça o upload para a pasta raiz do Magento.
- Aplique o patch: Acesse o servidor via shell (ssh) e digite o diretório raiz. Execute o seguinte comando:
- Limpe seu cache do Magento: Recomendamos limpar o cache do Magento após aplicar o patch. Você pode limpar e limpar o cache do administrador do Magento ou executar os seguintes comandos SSH:
-
- php bin / cache magento: flush
- php bin / magento cache: limpo
- Confirme a instalação do patch: Execute o seguinte comando para saber se o patch foi instalado corretamente:
-
- grep '|' app / etc / applied.patches.lis
- Remova o arquivo Patch: Após a instalação bem-sucedida do patch, você pode remover o arquivo .patch da raiz do Magento. Execute o seguinte comando para removê-lo usando SSH:
Considere isso:
Com o método acima na versão Magento 2.2 CE, você pode ter um erro da seguinte maneira:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opção não reconhecida “–git”
diff: tente “diff –help” para obter mais informações.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linha 2: índice: comando não encontrado
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linha 3: -: comando não encontrado
Para evitar esse erro, siga as etapas abaixo:
- Se você usa git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- use o patch
Remova a / eb / antes das rotas.
Mova o arquivo de correção para a raiz do Magento e execute o patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Gerente de Inovação Temporária
3 de setembro de 2019 7h10