Bulletin-ID
Sist oppdatert
7. mai 2021
|
Gjelder også for Digital Editions
Sikkerhetsoppdateringer tilgjengelig for Magento | APSB20-22
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
ASPB20-22 |
28. april 2020 |
2 |
Sammendrag
Magento har utgitt oppdateringer for Magento Commerce- og åpen kildekode-utgaver. Disse oppdateringene løser sårbarheter klassifisert som Kritisk, Viktig og Moderat (klassifiseringer av alvorlighetsgrad). Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.
Berørte versjoner
|
Produkt |
Versjon |
Plattform |
|---|---|---|
|
Magento Commerce |
2.3.4 og tidligere versjoner |
Alle |
|
Magento åpen kildekode |
2.3.4 og tidligere versjoner |
Alle |
|
Magento Commerce |
2.2.11 og tidliere versjoner (se merknad) |
Alle |
|
Magento åpen kildekode |
2.2.11 og tidliere versjoner (se merknad) |
Alle |
|
Magento virksomhetsutgave |
1.14.4.4 og tidligere versjoner |
Alle |
|
Magento samfunnsutgave |
1.9.4.4 og tidligere versjoner |
Alle |
Merk:
Støtten for Magento 2.2x utløp 31. Desember 2019.
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
|
Produkt |
Versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4-p2 |
Alle |
2 |
|
|
Magento åpen kildekode |
2.3.4-p2 |
Alle |
2 |
|
|
Magento Commerce |
2.3.5-p1 |
Alle |
2 |
|
|
Magento åpen kildekode |
2.3.5-p1 |
Alle |
2 |
|
|
Magento virksomhetsutgave |
1.14.4.5 |
Alle |
2 |
|
|
Magento samfunnsutgave |
1.9.4.5 |
Alle |
2 |
Merk:
Magento Commerce 2.2.12 er kun tilgjengelig for bedriftskunder med utvidet støtte.
Informasjon om sikkerhetsproblemet
Merk:
1. CVE-2020-9585 er beskyttet i standardintervaller
2. CVE-2020-9591 har eksklusiv påvirkning på Magento 1
Merk:
Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.
Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.
Takk
Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Revisjoner
4. mai 2020: Fjernet bekreftelse for CVE-2020-9586.
7. mai 2020: Lagt til CVE-2020-9630 som utilsiktet ble utelatt fra den opprinnelige versjonen.
12. mai 2020: Lagt til CVE-2020-9631 og CVE-2020-9632 som utilsiktet ble utelatt fra den opprinnelige versjonen.
