Ang 26 Marso 2019, pinakawalan ng Magento ang PRODSECBUG-2198 security patch para sa pag-aayos ng kahinaan ng SQL. Dahil sa kahinaan na ito, ang isang hindi nagpapatunay na gumagamit ay maaaring magpatupad ng SQL code, na may potensyal na pagkawala ng sensitibong data. Lubos naming inirerekumenda na i-install mo ang mga kumpletong patch na ito sa lalong madaling panahon.
- Impormasyon ng PRODSECBUG-2198
- CVSSv3 Lubhang: 9 (Kritikal)
- Mga kilalang pag-atake: wala
- Paglalarawan: ang isang hindi nagpapatunay na gumagamit ay maaaring magsagawa ng di-makatwirang code sa pamamagitan ng isang kahinaan sa SQL, na nagiging sanhi ng pagkawala ng sensitibong data.
- Apektadong produkto: Magento Open Source pre-1.9.4.1 at Magento Commerce bago ang 1.14.4.1, Magento 2.1 bago ang 2.1.17, Magento 2.2 bago ang 2.2.8, Magento 2.3 bago ang 2.3.1
- Nakapirming sa: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Tagapagbalita: cfreal
Upang mai-install ang patch ng PRODSECBUG-2198, patakbuhin lamang ang sumusunod na mga puntos ng 6:
- I-backup ang iyong Magento na nakabase sa ecommerce: Ito ay isang matalinong hakbang upang mai-back up ang Magento Store bago mag-apply ng anumang patch sa seguridad dahil ang iyong tindahan ay maaaring magkaroon ng ilang salungatan sa mga file ng Patch;
- I-download ang patch mula sa site ng Magento: I-download ang PRODSECBUG-2198 patch mula sa dito, pagpili ng tamang bersyon ng iyong Magento store at i-upload ito sa iyong Magento root folder.
- Ilapat ang patch: I-access ang server sa pamamagitan ng shell (ssh) at ipasok ang direktoryo ng ugat. Patakbuhin ang sumusunod na utos:
- I-clear ang iyong Magento Cache: Inirerekumenda namin ang paglilinis ng Magento cache pagkatapos mag-apply sa patch. Maaari mong limasin at limasin ang Magento admin cache o isagawa ang sumusunod na mga utos ng SSH:
-
- php bin / magento cache: flush
- php bin / magento cache: malinis
- Kumpirma ang pag-install ng patch: Patakbuhin ang sumusunod na utos upang malaman kung tama ang naka-install na patch:
-
- grep '|' app / etc / applied.patches.lis
- Alisin ang file ng Patch: Matapos ang matagumpay na pag-install ng patch, maaari mong alisin ang .patch file mula sa Magento root. Patakbuhin ang sumusunod na utos upang alisin ito gamit ang SSH:
Isaalang-alang mo na:
Sa pamamaraang nasa itaas sa bersyon ng Magento 2.2 CE maaari kang magkaroon ng isang error tulad ng sumusunod:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: ang pagpipilian ay hindi kinikilala "-git"
subukan: subukan ang "diff -help" para sa karagdagang impormasyon.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linya 2: index: utos na hindi natagpuan
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: linya 3: -: utos na hindi nahanap
Upang maiwasan ang error na ito, sundin ang mga hakbang sa ibaba:
- Kung gumagamit ka ng git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- gamitin ang patch
Alisin ang isang / eb / bago ang mga ruta.
Ilipat ang patch file sa Magento root at patakbuhin ang patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Pansamantalang Tagapamahala ng Makabagong
Setyembre 3, 2019 7:10 pm