Bulletin-ID
Sicherheits-Updates für Magento verfügbar | APSB20-22
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
ASPB20-22 |
28. April 2020 |
2 |
Zusammenfassung
Magento hat Updates für Magento Commerce- und Open Source-Editionen veröffentlicht. Diese Updates schließen Sicherheitslücken, die als „Kritisch“, „Wichtig“ und „Moderat“ eingestuft wurden (Einstufung der Sicherheitsrisiken). Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.
Betroffene Versionen
Produkt |
Version |
Plattform |
---|---|---|
Magento Commerce |
2.3.4 und früher |
Alle |
Magento Open Source |
2.3.4 und frühere Versionen |
Alle |
Magento Commerce |
2.2.11 und frühere Versionen (siehe Hinweis) |
Alle |
Magento Open Source |
2.2.11 und frühere Versionen (siehe Hinweis) |
Alle |
Magento Enterprise Edition |
1.14.4.4 und frühere Versionen |
Alle |
Magento Community Edition |
1.9.4.4 und frühere Versionen |
Alle |
Die Unterstützung für Magento 2.2x wurde am 31. Dezember 2019 eingestellt.
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Produkt |
Version |
Plattform |
Priorität Bewertung |
Verfügbarkeit |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
Alle |
2 |
|
Magento Open Source |
2.3.4-p2 |
Alle |
2 |
|
Magento Commerce |
2.3.5-p1 |
Alle |
2 |
|
Magento Open Source |
2.3.5-p1 |
Alle |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
Alle |
2 |
|
Magento Community Edition |
1.9.4.5 |
Alle |
2 |
Magento Commerce 2.2.12 ist ausschließlich für Kunden des erweiterten Commerce-Supports verfügbar.
Sicherheitslückendetails
1. CVE-2020-9585 wird bei Standardinstallationen abgeschwächt
2. CVE-2020-9591 wirkt sich ausschließlich auf Magento 1 aus
Vorauthentifizierung: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.
Administratorrechte erforderlich: Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.
Danksagung
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Historie
4. Mai 2020: Danksagung für CVE-2020-9586 wurde entfernt.
7. Mai 2020: CVE-2020-9630 wurde hinzugefügt, die versehentlich nicht in der ursprünglichen Version aufgeführt wurde.
12. Mai 2020: CVE-2020-9631 und CVE-2020-9632 wurden hinzugefügt, die versehentlich nicht in der ursprünglichen Version aufgeführt wurden.