ID biuletynu
Ostatnia aktualizacja
20 maj 2021
|
Dotyczy również Digital Editions
Dostępna aktualizacja zabezpieczeń programu Magento | APSB20-22
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
ASPB20-22 |
28 kwietnia 2020 |
2 |
Podsumowanie
Firma Magento wydała aktualizacje produktów w wersji Magento Commerce i Open Source.Te aktualizacje eliminują luki ocenione jako krytyczne, ważne i średnie (oceny ważności). Luki te mogą umożliwić wykonanie dowolnego kodu.
Wersje, których dotyczy problem
|
Produkt |
Wersja |
Platforma |
|---|---|---|
|
Magento Commerce |
2.3.4 i wcześniejsze wersje |
Wszystkie |
|
Magento Open Source |
2.3.4 i wcześniejsze wersje |
Wszystkie |
|
Magento Commerce |
2.2.11 i wcześniejsze wersje (patrz uwaga) |
Wszystkie |
|
Magento Open Source |
2.2.11 i wcześniejsze wersje (patrz uwaga) |
Wszystkie |
|
Magento Enterprise Edition |
1.14.4.4 i wcześniejsze wersje |
Wszystkie |
|
Magento Community Edition |
1.9.4.4 i wcześniejsze wersje |
Wszystkie |
Uwaga:
Wsparcie dla wersji Magento 2.2x zakończyło się 31 grudnia 2019.
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
|
Produkt |
Wersja |
Platforma |
Priorytet Ocena |
Dostępność |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4-p2 |
Wszystkie |
2 |
|
|
Magento Open Source |
2.3.4-p2 |
Wszystkie |
2 |
|
|
Magento Commerce |
2.3.5-p1 |
Wszystkie |
2 |
|
|
Magento Open Source |
2.3.5-p1 |
Wszystkie |
2 |
|
|
Magento Enterprise Edition |
1.14.4.5 |
Wszystkie |
2 |
|
|
Magento Community Edition |
1.9.4.5 |
Wszystkie |
2 |
Uwaga:
Wersja Magento Commerce 2.2.12 jest dostępna wyłącznie dla klientów z rozszerzonym wsparciem Commerce.
Informacje o luce w zabezpieczeniach
Uwaga:
1. CVE-2020-9585 jest złagodzone w instalacjach domyślnych
2. CVE-2020-9591 wpływa wyłącznie na Magento 1
Uwaga:
Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.
Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.
Podziękowania
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Wersje
4 maja 2020 r.: usunięto podziękowanie za zgłoszenie luki w zabezpieczeniach CVE-2020-9586.
7 maja 2020 r.: dodano informację o luce w zabezpieczeniach CVE-2020-9630, którą omyłkowo pominięto w oryginalnej wersji.
12 maja 2020 r.: dodano informacje o lukach w zabezpieczeniach CVE-2020-9631 i CVE-2020-9632, które omyłkowo pominięto w oryginalnym biuletynie.
