Adoben tietoturvatiedote

Magenton tietoturvapäivitykset | APSB20-47

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

ASPB20-47

28.7.2020

2

Yhteenveto

Magento on julkaissut päivityksiä Magento Commerce 2:lle (aikaisemmalta nimeltään Magento Enterprise Edition) ja Magento Open Source 2:lle (aikaisemmalta nimeltään Magento Community Edition). Nämä päivitykset ratkaisevat tärkeitä ja kriittisiä haavoittuvuuksia.  Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen ja allekirjoituksen vahvistuksen ohitukseen.





Versiot, joita haavoittuvuus koskee

Tuote

Versio

Ympäristö

Magento Commerce 2

2.3.5-p1 ja aiemmat versiot 

Kaikki

Magento Open Source 2

2.3.5-p1 ja aiemmat versiot

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Julkaisutiedot

Magento Commerce 2

2.4.0

Kaikki

2

Magento Open Source 2

2.4.0

Kaikki

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Kaikki

2

E/S

Magento Open Source 2

2.3.5-p2

Kaikki

2

E/S

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

Esitodennus?

Tarvitaan järjestelmänvalvojan oikeudet?

Magenton ohjelmavirheen tunnus

CVE-numerot

Polun vaihtuminen

Mielivaltaisen koodin suoritus

Kriittinen

Ei

Kyllä

PRODSECBUG-2716 

CVE-2020-9689

Havaittava ajoituksen ristiriita

Allekirjoituksen vahvistuksen ohitus

Tärkeä

Ei

Kyllä

PRODSECBUG-2726

CVE-2020-9690

DOM-pohjainen sivustojen välinen komentosarjojen käsittely

Mielivaltaisen koodin suoritus

Tärkeä

Kyllä

Ei

PRODSECBUG-2533 

CVE-2020-9691

Tietoturvan suojausominaisuuden ohitus 

Mielivaltaisen koodin suoritus

Kriittinen

Ei

Kyllä

PRODSECBUG-2769 

CVE-2020-9692 

Huomautus:

Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.   

Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.  

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  • Edgar Boda-Majer (Bugscale) ja Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer (Bugscale) (CVE-2020-9692)

Versiot

Adobe-logo

Kirjaudu sisään tiliisi