26 March 2019, Magento выпустила исправление безопасности PRODSECBUG-2198 для исправления уязвимости SQL. Из-за этой уязвимости не прошедший проверку подлинности пользователь может выполнить код SQL с потенциальной потерей конфиденциальных данных. Мы настоятельно рекомендуем вам установить эти полные исправления как можно скорее.
- PRODSECBUG-2198 Информация
- CVSSv3 Серьезность: 9 (критический)
- Известные атаки: нет
- Описание: пользователь, не прошедший проверку подлинности, может выполнить произвольный код с помощью уязвимости SQL, которая приводит к потере конфиденциальных данных.
- Затронутый продукт: Magento с открытым исходным кодом до 1.9.4.1 и Magento Commerce до 1.14.4.1, Magento 2.1 до 2.1.17, Magento 2.2 до 2.2.8, Magento 2.3 до 2.3.1
- Исправлено в: Magento с открытым исходным кодом 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Репортер: cfreal
Чтобы установить патч PRODSECBUG-2198, просто запустите следующие пункты 6:
- Сделайте резервную копию вашей электронной коммерции на основе Magento: Это разумный шаг для создания резервной копии магазина Magento перед применением какого-либо исправления безопасности, поскольку ваш магазин может конфликтовать с файлами исправлений;
- Загрузите патч с сайта Magento: Загрузите патч PRODSECBUG-2198 из здесь, выбрав правильную версию вашего магазина Magento и загрузите ее в корневую папку Magento.
- Применить патч: Получить доступ к серверу через оболочку (ssh) и войти в корневой каталог. Запустите следующую команду:
- Очистить кэш Magento: Мы рекомендуем очистить кеш Magento после применения патча. Вы можете очистить и очистить кэш администрирования Magento или выполнить следующие команды SSH:
-
- php bin / magento cache: flush
- php bin / magento cache: чистый
- Подтвердите установку патча: Запустите следующую команду, чтобы узнать, правильно ли установлено исправление:
-
- grep '|' приложение / и т.д. / applied.patches.lis
- Удалить файл патчаПосле успешной установки патча вы можете удалить файл .patch из корня Magento. Выполните следующую команду, чтобы удалить его с помощью SSH:
Считайте, что:
При использовании вышеуказанного метода в версии Magento 2.2 CE вы можете получить следующую ошибку:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: опция не распознана «–git»
diff: попробуйте «diff –help» для получения дополнительной информации.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: строка 2: индекс: команда не найдена
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: строка 3: -: команда не найдена
Чтобы избежать этой ошибки, выполните следующие действия:
- Если вы используете git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- использовать патч
Удалите / eb / перед маршрутами.
Переместите файл патча в корень Magento и запустите patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Временный менеджер по инновациям