Adoben tietoturvatiedote

Hae

Magenton tietoturvapäivitykset | APSB20-22

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

ASPB20-22

28. huhtikuuta 2020      

2

Yhteenveto

Magento on julkaissut päivityksiä Magento Commerce- ja Magento Open Source -versioita varten.  Nämä päivitykset ratkaisevat kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia (vakavuusluokituksia).  Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.    

Versiot, joita haavoittuvuus koskee

Tuote

Versio

Ympäristö

Magento Commerce 

2.3.4 ja aiemmat versiot    

Kaikki

Magento Open Source   

2.3.4 ja aiemmat versiot    

Kaikki

Magento Commerce 

2.2.11 ja aiemmat versiot (katso huomautus)

Kaikki

Magento Open Source  

2.2.11 ja aiemmat versiot (katso huomautus)

Kaikki

Magento Enterprise Edition    

1.14.4.4 ja aiemmat versiot    

Kaikki

Magento Community Edition  

1.9.4.4 ja aiemmat versiot

Kaikki
Huomautus:

Magento 2.2x:n tuki päättyi 31.12.2019.

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote

Versio

Ympäristö

Prioriteettiluokitus

Saatavuus

Magento Commerce    

2.3.4-p2

Kaikki

2

2.3.4-p2 Commerce

Magento Open Source    

2.3.4-p2

Kaikki

2

2.3.4-p2 Open Source

Magento Commerce    

2.3.5-p1

Kaikki

2

2.3.5 Commerce

Magento Open Source    

2.3.5-p1

Kaikki

2

2.3.5 Open Source

Magento Enterprise Edition    

1.14.4.5

Kaikki

2

1.14.4.5

Magento Community Edition    

1.9.4.5

Kaikki

2

1.9.4.5
Huomautus:

Magento Commerce 2.2.12 on ainoastaan laajennetun tuen Commerce-asiakkaiden saatavilla.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus Esitodennus? Tarvitaan järjestelmänvalvojan oikeudet?

 Magenton ohjelmavirheen tunnus CVE-numerot
Komentojen lisäys



 Mielivaltaisen koodin suoritus



 Kriittinen



 Ei Kyllä PRODSECBUG-2707



 CVE-2020-9576
Tallennettu sivustojen välinen skriptaus    



 Arkaluonteisten tietojen paljastuminen    



 Tärkeä Kyllä



 Ei PRODSECBUG-2671



 CVE-2020-9577 
Komentojen lisäys



 Mielivaltaisen koodin suoritus



 Kriittinen 



 Ei Kyllä PRODSECBUG-2695



 CVE-2020-9578  
Tietoturvan suojausominaisuuden ohitus



 Mielivaltaisen koodin suoritus



 Kriittinen



 Ei



 Kyllä



 PRODSECBUG-2696



 CVE-2020-9579
Tietoturvan suojausominaisuuden ohitus



 Mielivaltaisen koodin suoritus Kriittinen



 Ei



 Kyllä



 PRODSECBUG-2697



 CVE-2020-9580
Tallennettu sivustojen välinen skriptaus



 Arkaluonteisten tietojen paljastuminen



 Tärkeä



 Ei



 Kyllä



 PRODSECBUG-2700



 CVE-2020-9581
Komentojen lisäys



 Mielivaltaisen koodin suoritus



 Kriittinen



 Ei



 Kyllä



 PRODSECBUG-2708



 CVE-2020-9582
Komentojen lisäys



 Mielivaltaisen koodin suoritus



 Kriittinen



 Ei



 Kyllä



 PRODSECBUG-2710



 CVE-2020-9583
Tallennettu sivustojen välinen skriptaus



 Arkaluonteisten tietojen paljastuminen



 Tärkeä



 Kyllä



 Ei



 PRODSECBUG-2715



 CVE-2020-9584
Syvän suojauksen suojausominaisuus



 Mielivaltaisen koodin suoritus



 Kohtalainen



 Ei



 Kyllä



 PRODSECBUG-2541



 CVE-2020-9585
Syvän suojauksen suojausominaisuus



 Hallintapaneelin luvaton käyttö



 Kohtalainen



 Kyllä Kyllä



 MPERF-10898



 CVE-2020-9591
Valtuutuksen ohitus



 Mahdollisesti luvattomat tuotealennukset



 Kohtalainen



 Kyllä



 Ei



 PRODSECBUG-2518



 CVE-2020-9587
Havaittava ajoituksen ristiriita Allekirjoituksen vahvistuksen ohitus



 Tärkeä



 Ei



 Kyllä



 PRODSECBUG-2677



 CVE-2020-9588
Liiketoimintalogiikan virhe Käyttöoikeuksien laajennus Tärkeä Ei Kyllä PRODSECBUG-2722 CVE-2020-9630
Tietoturvan suojausominaisuuden ohitus Mielivaltaisen koodin suoritus Kriittinen Ei Kyllä PRODSECBUG-2703 CVE-2020-9631
Tietoturvan suojausominaisuuden ohitus Mielivaltaisen koodin suoritus Kriittinen Ei Kyllä PRODSECBUG-2704 CVE-2020-9632
Huomautus:

1.     CVE-2020-9585 on lievennetty oletusasennuksissa.

2.     CVE-2020-9591 vaikuttaa ainoastaan Magento 1:een.

Huomautus:

Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.   

Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.  

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Versiot

4. toukokuuta 2020: poistettu artikkelia CVE-2020-9586 koskevat kiitokset.

7. toukokuuta 2020: lisätty CVE-2020-9630, joka jätettiin vahingossa pois alkuperäisestä versiosta. 

12. toukokuuta 2020: lisätty CVE-2020-9631 ja CVE-2020-9632, jotka jätettiin vahingossa pois alkuperäisestä versiosta. 

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Pikalinkit

Näytä kaikki sopimuksesi Sopimusten hallinta
Näytä pikalinkit
Piilota pikalinkit