26 March 2019, Magento ได้เปิดตัวแพตช์ความปลอดภัย PRODSECBUG-2198 สำหรับแก้ไขช่องโหว่ SQL เนื่องจากช่องโหว่นี้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเรียกใช้งานโค้ด SQL โดยอาจสูญเสียข้อมูลที่สำคัญ เราขอแนะนำอย่างยิ่งให้คุณติดตั้งแพทช์สมบูรณ์เหล่านี้โดยเร็วที่สุด
- ข้อมูล PRODSECBUG-2198
- CVSSv3 ความรุนแรง: 9 (สำคัญ)
- การโจมตีที่ทราบ: ไม่มี
- คำอธิบาย: ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องสามารถเรียกใช้รหัสโดยอำเภอใจผ่านช่องโหว่ SQL ซึ่งทำให้ข้อมูลที่สำคัญหายไป
- ผลิตภัณฑ์ที่ได้รับผลกระทบ: Magento Open Source Pre-1.9.4.1 และ Magento Commerce ก่อน 1.14.4.1, Magento 2.1 ก่อน 2.1.17, Magento 2.2 ก่อนหน้า 2.2.8, Magento 2.3 ก่อน 2.3.1
- แก้ไขใน: วีโอไอพีโอเพนซอร์ส 1.9.4.1, วีโอไอพีพาณิชย์ 1.14.4.1, SUPEE-11086, วีโอไอพี 2.1.17, Magento 2.2.8, Magento 2.3.1
- ผู้สื่อข่าว: cfreal
ในการติดตั้งแพตช์ PRODSECBUG-2198 เพียงรันจุด 6 ต่อไปนี้:
- สำรองข้อมูลอีคอมเมิร์ซที่ใช้วีโอไอพีของคุณ: เป็นขั้นตอนที่ชาญฉลาดในการสำรอง Magento Store ก่อนที่จะใช้โปรแกรมรักษาความปลอดภัยใด ๆ เนื่องจากร้านค้าของคุณอาจมีข้อขัดแย้งกับไฟล์ Patch;
- ดาวน์โหลดแพตช์จากเว็บไซต์ Magento: ดาวน์โหลด PRODSECBUG-2198 patch จาก ที่นี่เลือกรุ่นที่เหมาะสมของร้านค้า Magento ของคุณและอัปโหลดไปยังโฟลเดอร์รากของ Magento
- ใช้โปรแกรมปะแก้: เข้าถึงเซิร์ฟเวอร์ผ่าน shell (ssh) และป้อนไดเรกทอรีราก รันคำสั่งต่อไปนี้:
- ล้าง Magento Cache ของคุณ: เราขอแนะนำให้ทำความสะอาดแคช Magento หลังจากใช้โปรแกรมแก้ไข คุณสามารถล้างและล้างแคชผู้ดูแลระบบของ Magento หรือดำเนินการคำสั่ง SSH ต่อไปนี้:
-
- php bin / magento cache: flush
- php bin / magento cache: สะอาด
- ยืนยันการติดตั้งแพตช์: เรียกใช้คำสั่งต่อไปนี้เพื่อทราบว่าติดตั้งแพตช์ถูกต้องหรือไม่:
-
- grep '|' app / etc / applied.patches.lis
- ลบไฟล์ Patch: หลังจากการติดตั้งแพตช์สำเร็จคุณสามารถลบไฟล์. patch ออกจากรูท Magento ได้ รันคำสั่งต่อไปนี้เพื่อลบออกโดยใช้ SSH:
พิจารณาว่า:
ด้วยวิธีการข้างต้นในเวอร์ชัน Magento 2.2 CE คุณอาจมีข้อผิดพลาดดังต่อไปนี้:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: ตัวเลือกไม่รู้จัก“ –git”
diff: ลองใช้“ diff –help” สำหรับข้อมูลเพิ่มเติม
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19-2-XNUMX.patch: บรรทัด XNUMX: ดัชนี: ไม่พบคำสั่ง
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19-3-XNUMX.patch: บรรทัด XNUMX: -: ไม่พบคำสั่ง
เพื่อหลีกเลี่ยงข้อผิดพลาดนี้ให้ทำตามขั้นตอนด้านล่าง:
- หากคุณใช้คอมไพล์:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- ใช้แพทช์
ลบ a / eb / ก่อนเส้นทาง
ย้ายไฟล์ปะแก้ไปที่รูทวีโอไอพีและเรียกใช้ patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
ผู้จัดการนวัตกรรมชั่วคราว