26 March 2019,Magento发布了用于修复SQL漏洞的PRODSECBUG-2198安全补丁。 由于此漏洞,未经身份验证的用户可以执行SQL代码,可能会丢失敏感数据。 我们强烈建议您尽快安装这些完整的补丁。
- PRODSECBUG-2198信息
- CVSSv3严重性:9(严重)
- 已知攻击:无
- 描述:未经身份验证的用户可以通过SQL漏洞执行任意代码,从而导致敏感数据丢失。
- 受影响的产品:1.9.4.1之前的Magento开源前1.14.4.1和Magento Commerce,2.1之前的Magento 2.1.17,2.2之前的Magento 2.2.8,2.3之前的Magento 2.3.1
- 修复:Magento开源1.9.4.1,Magento Commerce 1.14.4.1,SUPEE-11086,Magento 2.1.17,Magento 2.2.8,Magento 2.3.1
- 记者:cfreal
要安装PRODSECBUG-2198补丁,只需运行以下6点:
- 备份基于Magento的电子商务:在应用任何安全补丁之前备份Magento Store是明智之举,因为您的商店可能与补丁文件存在冲突;
- 从Magento站点下载补丁:从中下载PRODSECBUG-2198补丁 归仁,选择正确版本的Magento商店并将其上传到Magento根文件夹。
- 应用补丁:通过shell(ssh)访问服务器并输入根目录。 运行以下命令:
- 清除您的Magento缓存:我们建议在应用补丁后清理Magento缓存。 您可以清除并清除Magento管理缓存或执行以下SSH命令:
-
- php bin / magento cache:flush
- php bin / magento cache:干净
- 确认补丁安装:运行以下命令以了解修补程序是否已正确安装:
-
- grep'|' 应用程序的/ etc / applied.patches.lis
- 删除修补程序文件:成功安装补丁后,您可以从Magento根目录中删除.patch文件。 运行以下命令以使用SSH将其删除:
考虑一下:
使用Magento 2.2 CE版本中的上述方法,您可能会出现以下错误:
sh PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
diff:无法识别的选项“ –git”
差异:请尝试“差异–帮助”以获取更多信息。
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch:line 2:index:command not found
PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch:行3: - :找不到命令
要避免此错误,请按照以下步骤操作:
- 如果你使用git:
git apply PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
- 使用补丁
删除路由前的/ eb /。
将补丁文件移动到Magento根目录并运行 patch -p0 <PRODSECBUG-2198-2.2-CE.composer-2019-03-27-06-12-19.patch
Ercole Palmeri
临时创新经理
3 年 2019 月 7 日 晚上 10:XNUMX