Tiedotteen tunnus
Päivitetty viimeksi
6. toukokuuta 2021
|
Koskee myös seuraavaa Digital Editions
Magenton tietoturvapäivitykset | APSB20-41
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
ASPB20-41 |
22.6.2020 |
2 |
Yhteenveto
Magento on julkaissut päivityksiä Magento Commerce 1- ja Magento Open Source 1 -versioita varten. Nämä päivitykset ratkaisevat tärkeitä ja kriittisiä haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.
Magento Commerce 1.14:n ja Magento Open Source 1:n tuki päättyy kesäkuussa 2020. Nämä ovat viimeiset tietoturvapäivitykset näihin versioihin.
Huomautus:
Magento Commerce 1 on aikaisemmalta nimeltään Magento Enterprise Edition ja Magento Open Source 1 on aikaisemmalta nimeltään Magento Community Edition.
Versiot, joita haavoittuvuus koskee
|
Tuote |
Versio |
Ympäristö |
|---|---|---|
|
Magento Commerce 1 |
1.14.4.5 ja aiemmat versiot |
Kaikki |
|
Magento Open Source 1 |
1.9.4.5 ja aiemmat versiot |
Kaikki |
Huomautus:
Nämä haavoittuvuudet eivät vaikuta Magento Commerceen tai Magento Open Sourceen.
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
|
Tuote |
Versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
Magento Commerce 1 |
SUPEE-11346 |
Kaikki |
2 |
Oma tili > Downloads-välilehti > Magento Commerce 1.X > Magento Commerce 1.x > Support and Security Patches > Security Patches > Security |
|
Magento Open Source 1 |
SUPEE-11346 |
Kaikki |
2 |
Magento Open Source -lataussivu > Release Archive -välilehti > Magento Open Source Patches - 1.x-osio |
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
Tarvitaan järjestelmänvalvojan oikeudet? |
Magenton ohjelmavirheen tunnus |
CVE-numerot |
|
|---|---|---|---|---|---|---|
|
PHP-objektin lisäys |
Mielivaltaisen koodin suoritus |
Kriittinen |
Ei |
Kyllä |
PRODSECBUG-2758 |
CVE-2020-9664 |
|
Tallennettu sivustojen välinen skriptaus |
Arkaluonteisten tietojen paljastuminen |
Tärkeä |
Ei |
Kyllä |
PRODSECBUG-2759 |
CVE-2020-9665 |
Huomautus:
Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.
Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe kiittää Luke Rodgersia näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa asiakkaidemme suojaamisessa.
