ID bulletinu
Naposledy aktualizováno
19. 5. 2021
|
Platí také pro Digital Editions
Zveřejnění aktualizací zabezpečení pro Magento | APSB20-22
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
ASPB20-22 |
28. dubna 2020 |
2 |
Shrnutí
Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení s kritickou, důležitou a střední závažností. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.
Dotčené verze
|
Produkt |
Verze |
Platforma |
|---|---|---|
|
Magento Commerce |
2.3.4 a starší verze |
Vše |
|
Magento Open Source |
2.3.4 a starší verze |
Vše |
|
Magento Commerce |
2.2.11 a starší verze (viz poznámka) |
Vše |
|
Magento Open Source |
2.2.11 a starší verze (viz poznámka) |
Vše |
|
Magento Enterprise Edition |
1.14.4.4 a starší verze |
Vše |
|
Magento Community Edition |
1.9.4.4 a starší verze |
Vše |
Poznámka:
Aplikace Magento 2.2x od 31. prosince 2019 už není podporována.
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
|
Produkt |
Verze |
Platforma |
Priorita Hodnocení |
Dostupnost |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4-p2 |
Vše |
2 |
|
|
Magento Open Source |
2.3.4-p2 |
Vše |
2 |
|
|
Magento Commerce |
2.3.5-p1 |
Vše |
2 |
|
|
Magento Open Source |
2.3.5-p1 |
Vše |
2 |
|
|
Magento Enterprise Edition |
1.14.4.5 |
Vše |
2 |
|
|
Magento Community Edition |
1.9.4.5 |
Vše |
2 |
Poznámka:
Magento Commerce 2.2.12 je k dispozici výhradně zákazníkům Commerce s rozšířenou podporou.
Podrobnosti o chybě zabezpečení
Poznámka:
1. CVE-2020-9585 je vyřešen výchozí instalací
2. CVE-2020-9591 má dopad výhradně na Magento 1
Poznámka:
Předběžné ověření: Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.
Jsou vyžadována oprávnění správce: Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.
Poděkování
Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Verze
4. května 2020: Bylo odstraněno poděkování za práci na chybě zabezpečení CVE-2020-9586.
7. května 2020: Byla přidána chyba zabezpečení CVE-2020-9630, která byla omylem v původní verzi vynechána.
12. května 2020: Byly přidány chyby zabezpečení CVE-2020-9631 a CVE-2020-9632, které byly omylem v původní verzi vynechány.
