26 mars 2019, Magento har släppt säkerhetsuppdateringen PRODSECBUG-2198 för att fixa en SQL-sårbarhet. På grund av denna sårbarhet kan en oautentiserad användare köra SQL-kod med potentiell förlust av känslig data. Vi rekommenderar starkt att du installerar dessa kompletta patchar så snart som möjligt.
- PRODSECBUG-2198 Information
- CVSSv3 Svårighetsgrad: 9 (kritisk)
- Kända attacker: ingen
- Beskrivning: en oautentiserad användare kan köra godtycklig kod genom en SQL-sårbarhet, vilket orsakar förlust av känslig data.
- Påverkad produkt: Magento Open Source pre-1.9.4.1 och Magento Commerce före 1.14.4.1, Magento 2.1 före 2.1.17, Magento 2.2 före 2.2.8, Magento 2.3 före 2.3.1
- Fast i: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Reporter: cfreal
För att installera PRODSECBUG-2198-korrigeringen, kör bara följande 6-punkter:
- Säkerhetskopiera din Magento-baserad e-handel: Det är ett klokt steg att säkerhetskopiera Magento Store innan du applicerar någon säkerhetsuppdatering eftersom din butik kan ha viss konflikt med Patch-filerna.
- Ladda ner korrigeringsfilen från Magento-webbplatsen: Ladda ner PRODSECBUG-2198-lappen från qui, välj rätt version av din Magento-butik och ladda upp den till din Magento-rotmapp.
- Applicera lappen: Öppna servern via shell (ssh) och ange rotkatalogen. Kör följande kommando:
- Rensa din Magento-cache: Vi rekommenderar att du rengör Magento-cachen efter applicering av lappen. Du kan rensa och rensa Magento-admincachen eller köra följande SSH-kommandon:
-
- php bin / magento cache: spola
- php bin / magento cache: ren
- Bekräfta installationen av patch: Kör följande kommando för att veta om korrigeringen är korrekt installerad:
-
- grep '|' app / etc / applied.patches.lis
- Ta bort patchfilen: Efter en lyckad installation av patch kan du ta bort .patch-filen från Magento-roten. Kör följande kommando för att ta bort det med SSH:
Tänk på det:
Med ovanstående metod i Magento 2.2 CE-version kan du ha ett fel enligt följande:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: alternativ känner inte igen “–git”
diff: prova “diff –help” för mer information.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: rad 2: index: kommando hittades inte
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: rad 3: -: kommando hittades inte
Följ stegen nedan för att undvika detta fel:
- Om du använder git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- använd lappen
Ta bort a / eb / innan rutten.
Flytta patchfilen till Magento-roten och kör patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Tillfällig innovationschef