26 March 2019, Magento a lansat corecția de securitate PRODSECBUG-2198 pentru remedierea unei vulnerabilități SQL. Din cauza acestei vulnerabilități, un utilizator neautentificat poate executa cod SQL, cu pierderi potențiale de date sensibile. Vă recomandăm să instalați aceste patch-uri complete cât mai curând posibil.
- Informații PRODSECBUG-2198
- CVSSv3 Severitate: 9 (critic)
- Atacuri cunoscute: niciuna
- Descriere: un utilizator neautentificat poate executa un cod arbitrar printr-o vulnerabilitate SQL, ceea ce provoacă o pierdere de date sensibile.
- Produs afectat: Magento Open Source pre-1.9.4.1 și Magento Commerce înainte de 1.14.4.1, Magento 2.1 înainte de 2.1.17, Magento 2.2 înainte de 2.2.8, Magento 2.3 înainte de 2.3.1
- Fixat în: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporter: cfreal
Pentru a instala corecția PRODSECBUG-2198, pur și simplu executați următoarele puncte 6:
- Faceți backup pentru comerțul electronic bazat pe Magento: Este un pas înțelept pentru a face o copie de siguranță a Magento Store înainte de a aplica orice corecție de securitate, deoarece magazinul dvs. ar putea avea un conflict cu fișierele Patch;
- Descărcați plasturele de pe site-ul Magento: Descărcați patch-ul PRODSECBUG-2198 de la qui, alegând versiunea potrivită a magazinului Magento și încărcați-l în folderul rădăcină Magento.
- Aplicați plasturele: Accesați serverul prin shell (ssh) și introduceți directorul rădăcină. Executați următoarea comandă:
- Ștergeți-vă memoria Magento Cache: Recomandăm curățarea cache-ului Magento după aplicarea plasturelui. Puteți șterge și șterge memoria cache de administrare Magento sau executa următoarele comenzi SSH:
-
- php bin / magento cache: flush
- php bin / magento cache: curat
- Confirmați instalarea patch-ului: Rulați următoarea comandă pentru a ști dacă patch-ul a fost instalat corect:
-
- grep '|' app / etc / applied.patches.lis
- Eliminați fișierul Patch: După instalarea cu succes a corecțiilor, puteți elimina fișierul .patch din rădăcina Magento. Rulați următoarea comandă pentru a o elimina folosind SSH:
Luați în considerare că:
Cu metoda de mai sus în versiunea Magento 2.2 CE este posibil să aveți o eroare după cum urmează:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: opțiune nu este recunoscută „–git”
diff: încercați „diff –help” pentru mai multe informații.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linia 2: index: comanda nu a fost găsită
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linia 3: -: comanda nu a fost găsită
Pentru a evita această eroare, urmați pașii de mai jos:
- Dacă utilizați git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- folosiți plasturele
Îndepărtați a / eb / înainte de rute.
Mutați fișierul patch în rădăcina Magento și rulați patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Director de inovație temporară
3 septembrie 2019, ora 7:10