게시판 ID
Magento에 사용할 수 있는 보안 업데이트 | APSB20-22
|
게시 날짜 |
우선 순위 |
---|---|---|
ASPB20-22 |
2020년 4월 28일 |
2 |
요약
Magento는 Magento Commerce 및 Open Source 버전에 대한 업데이트를 발표했습니다. 이러한 업데이트는 심각, 중요, 보통(심각도 등급) 등급의 취약성을 해결합니다. 성공적인 작성으로 인해 임의의 코드가 실행될 수 있습니다.
해당 버전
제품 |
버전 |
플랫폼 |
---|---|---|
Magento Commerce |
2.3.4 및 이전 버전 |
모두 |
Magento Open Source |
2.3.4 및 이전 버전 |
모두 |
Magento Commerce |
2.2.11 및 이전 버전(참고 참조) |
모두 |
Magento Open Source |
2.2.11 및 이전 버전(참고 참조) |
모두 |
Magento Enterprise Edition |
1.14.4.4 및 이전 버전 |
모두 |
Magento Community Edition |
1.9.4.4 및 이전 버전 |
모두 |
Magento 2.2x는 2019년 12월 31일에 지원이 종료되었습니다.
해결 방법
Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
제품 |
버전 |
플랫폼 |
우선 순위 등급 |
사용 가능성 |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
모두 |
2 |
|
Magento Open Source |
2.3.4-p2 |
모두 |
2 |
|
Magento Commerce |
2.3.5-p1 |
모두 |
2 |
|
Magento Open Source |
2.3.5-p1 |
모두 |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
모두 |
2 |
|
Magento Community Edition |
1.9.4.5 |
모두 |
2 |
Magento Commerce 2.2.12는 Commerce 고객만 확장 지원할 수 있습니다.
취약성 세부 정보
1. CVE-2020-9585가 기본 설치 시 완화됨
2. CVE-2020-9591은 Magento 1에만 영향을 줌
사전 인증: 자격 증명 없이 취약성을 악용할 수 있습니다.
관리자 권한 필요: 취약성은 관리자 권한을 가진 공격자만 악용할 수 있습니다.
감사의 말
Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
- Blaklis(CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon(CVE-2020-9577)
- Y0natan(CVE-2020-9578)
- Edgar Boda-Majer(CVE-2020-9580)
- Qubitz(CVE-2020-9585)
- Magnusg(CVE-2020-9587)
- Wasin Sae-ngow(CVE-2020-9588)
- Max Chadwick(CVE-2020-9630)
수정
2020년 5월 4일: CVE-2020-9586에 대한 승인이 제거되었습니다.
2020년 4월 7일: 원본 버전에서 실수로 누락된 CVE-2020-9630이 추가되었습니다.
2020년 5월 12일: 원본 버전에서 실수로 누락된 CVE-2020-9631 및 CVE-2020-9632가 추가되었습니다.