26 మార్చి 2019, Magento SQL దుర్బలత్వాన్ని పరిష్కరించడానికి PRODSECBUG-2198 భద్రతా ప్యాచ్ను విడుదల చేసింది. ఈ దుర్బలత్వం కారణంగా, ప్రామాణీకరించని వినియోగదారు సున్నితమైన డేటాను కోల్పోయేలా SQL కోడ్ను అమలు చేయవచ్చు. ఈ పూర్తి పాచెస్ను వీలైనంత త్వరగా ఇన్స్టాల్ చేయాలని మేము గట్టిగా సిఫార్సు చేస్తున్నాము.
- PRODSECBUG-2198 సమాచారం
- CVSSv3 తీవ్రత: 9 (క్రిటికల్)
- తెలిసిన దాడులు: ఏదీ లేదు
- వివరణ: ప్రామాణీకరించని వినియోగదారు SQL దుర్బలత్వం ద్వారా ఏకపక్ష కోడ్ను అమలు చేయగలరు, ఇది సున్నితమైన డేటాను కోల్పోతుంది.
- ప్రభావిత ఉత్పత్తి: 1.9.4.1 కి ముందు Magento ఓపెన్ సోర్స్ మరియు Magento కామర్స్, 1.14.4.1 కి ముందు Magento 2.1, 2.1.17 కి ముందు Magento 2.2, 2.2.8 కి ముందు Magento 2.3
- స్థిర: Magento ఓపెన్ సోర్స్ 1.9.4.1, Magento కామర్స్ 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- రిపోర్టర్: cfreal
PRODSECBUG-2198 ప్యాచ్ను ఇన్స్టాల్ చేయడానికి, కింది 6 పాయింట్లను అమలు చేయండి:
- మీ Magento- ఆధారిత ఇకామర్స్ ను బ్యాకప్ చేయండి: ఏదైనా భద్రతా ప్యాచ్ను వర్తించే ముందు Magento స్టోర్ను బ్యాకప్ చేయడం తెలివైన దశ, ఎందుకంటే మీ స్టోర్లో ప్యాచ్ ఫైల్లతో కొంత వైరుధ్యం ఉండవచ్చు;
- Magento సైట్ నుండి ప్యాచ్ను డౌన్లోడ్ చేయండి: నుండి PRODSECBUG-2198 ప్యాచ్ను డౌన్లోడ్ చేయండి ఎవరు, మీ Magento స్టోర్ యొక్క సరైన సంస్కరణను ఎంచుకుని, దాన్ని మీ Magento రూట్ ఫోల్డర్కు అప్లోడ్ చేయండి.
- పాచ్ వర్తించు: షెల్ (ssh) ద్వారా సర్వర్ను యాక్సెస్ చేసి, రూట్ డైరెక్టరీని నమోదు చేయండి. కింది ఆదేశాన్ని అమలు చేయండి:
- మీ Magento కాష్ను క్లియర్ చేయండి: ప్యాచ్ను వర్తింపజేసిన తర్వాత Magento కాష్ను శుభ్రం చేయాలని మేము సిఫార్సు చేస్తున్నాము. మీరు Magento అడ్మిన్ కాష్ను క్లియర్ చేసి క్లియర్ చేయవచ్చు లేదా కింది SSH ఆదేశాలను అమలు చేయవచ్చు:
-
- php bin / magento cache: ఫ్లష్
- php bin / magento cache: శుభ్రంగా
- ప్యాచ్ సంస్థాపనను నిర్ధారించండి: ప్యాచ్ సరిగ్గా ఇన్స్టాల్ చేయబడిందో లేదో తెలుసుకోవడానికి ఈ క్రింది ఆదేశాన్ని అమలు చేయండి:
-
- grep '|' అనువర్తనం / etc / applied.patches.lis
- ప్యాచ్ ఫైల్ను తొలగించండి: విజయవంతమైన ప్యాచ్ సంస్థాపన తరువాత, మీరు .patch ఫైల్ను Magento root నుండి తీసివేయవచ్చు. SSH ఉపయోగించి తొలగించడానికి కింది ఆదేశాన్ని అమలు చేయండి:
దానిని పరిగణించండి:
Magento 2.2 CE సంస్కరణలో పై పద్ధతిలో మీకు ఈ క్రింది విధంగా లోపం ఉండవచ్చు:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
తేడా: ఎంపిక గుర్తించబడలేదు “-git”
తేడా: మరింత సమాచారం కోసం “diff –help” ప్రయత్నించండి.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: line 2: index: command దొరకలేదు
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: line 3: -: ఆదేశం కనుగొనబడలేదు
ఈ లోపాన్ని నివారించడానికి, క్రింది దశలను అనుసరించండి:
- మీరు git ఉపయోగిస్తే:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- పాచ్ ఉపయోగించండి
మార్గాల ముందు / eb / ను తొలగించండి.
ప్యాచ్ ఫైల్ను Magento రూట్కు తరలించి, అమలు చేయండి patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
తాత్కాలిక ఇన్నోవేషన్ మేనేజర్
సెప్టెంబర్ 3, 2019 7:10pm