26 березня 2019, Magento випустив патч безпеки PRODSECBUG-2198 для виправлення вразливості SQL. Через цю вразливість, неаутентифікований користувач може виконувати SQL-код з можливою втратою конфіденційних даних. Ми настійно рекомендуємо встановити ці повні виправлення якомога швидше.
- PRODSECBUG-2198 Інформація
- CVSSv3 Важкість: 9 (критична)
- Відомі напади: жодної
- Опис: неаутентифікований користувач може виконувати довільний код через вразливість SQL, що спричиняє втрату конфіденційних даних.
- Порушений продукт: Magento з відкритим кодом до 1.9.4.1 та Magento Commerce до 1.14.4.1, Magento 2.1 до 2.1.17, Magento 2.2 до 2.2.8, Magento 2.3 до 2.3.1
- Зафіксовано у: Magento Open Source 1.9.4.1, Magento Commerce 1.14.4.1, SUPEE-11086, Magento 2.1.17, Magento 2.2.8, Magento 2.3.1
- Репортер: cfreal
Щоб встановити патч PRODSECBUG-2198, просто запустіть такі точки 6:
- Створіть резервну копію електронної комерції на основі Magento: Розумним кроком є резервне копіювання магазину Magento перед тим, як застосувати будь-який патч безпеки, оскільки ваш магазин може мати певні конфлікти з файлами Patch;
- Завантажте виправлення з сайту Magento: Завантажте патч PRODSECBUG-2198 Квай, вибравши правильну версію магазину Magento та завантажте його у свою кореневу папку Magento.
- Нанесіть пластир: Доступ до сервера через оболонку (ssh) та введіть кореневу директорію. Виконайте таку команду:
- Очистіть кеш Magento: Рекомендуємо очистити кеш Magento після застосування патчу. Ви можете очистити та очистити кеш-пам'ять адміністратора Magento або виконати такі команди SSH:
-
- php bin / magento cache: flush
- php bin / magento cache: чистий
- Підтвердьте встановлення виправлення: Виконайте таку команду, щоб знати, чи правильно встановлено виправлення:
-
- grep '|' додаток / і т.д. / applied.patches.lis
- Видаліть файл Patch: Після успішної установки патчу ви можете видалити .patch файл із кореня Magento. Виконайте таку команду, щоб видалити її за допомогою SSH:
Вважайте це:
З описаним вище способом у версії Magento 2.2 CE у вас може виникнути помилка наступним чином:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff: опція не розпізнана "–it"
diff: спробуйте “diff –help” для отримання додаткової інформації.
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: рядок 2: index: команда не знайдена
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch: рядок 3: -: команда не знайдена
Щоб уникнути цієї помилки, виконайте наведені нижче дії:
- Якщо ви використовуєте git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- використовувати пластир
Видаліть a / eb / перед маршрутами.
Перемістіть файл патча до кореня Magento та запустіть patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
Тимчасовий менеджер з інновацій