Adobe Güvenlik Bülteni

Magento için güvenlik güncellemeleri mevcut | APSB20-22

Bülten No

Yayınlandığı Tarih

Öncelik

ASPB20-22

28 Nisan 2020      

2

Özet

Magento, Magento Commerce ve Açık Kaynak sürümleri için güncellemeler yayınladı.Bu güncellemeler Kritik, Önemli ve Orta Dereceli (ciddiyet dereceleri) güvenlik açıklarını gidermektedir.Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.    

Etkilenen Sürümler

Ürün

Sürüm

Platform

Magento Commerce 

2.3.4 ve önceki sürümleri    

Tümü

Magento Açık Kaynak   

2.3.4 ve önceki sürümleri    

Tümü

Magento Commerce 

2.2.11 ve önceki sürümleri (bkz. notlar)

Tümü

Magento Açık Kaynak  

2.2.11 ve önceki sürümleri (bkz. notlar)

Tümü

Magento Enterprise Edition    

1.14.4.4 ve önceki sürümleri    

Tümü

Magento Community Edition  

1.9.4.4 ve önceki sürümleri

Tümü

Not:

Magento 2.2x, 31 Aralık 2019›da destek ömrünün sonuna geldi.

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün

Sürüm

Platform

Öncelik Derecelendirme

Bulunma Durumu

Magento Commerce    

2.3.4-p2

Tümü

2

Magento Açık Kaynak

2.3.4-p2

Tümü

2

Magento Commerce    

2.3.5-p1

Tümü

2

Magento Açık Kaynak

2.3.5-p1

Tümü

2

Magento Enterprise Edition    

1.14.4.5

Tümü

2

Magento Community Edition    

1.9.4.5

Tümü

2

Not:

Magento Commerce 2.2.12, Commerce müşterilerine genişletilmiş destek sağlamak için özel olarak mevcuttur.

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi Ön kimlik doğrulama? Yönetici ayrıcalıkları gerekli?

Magento Bug ID CVE numaraları
Komut ekleme



Rastgele kod yürütme



Kritik



No Evet PRODSECBUG-2707



CVE-2020-9576



Gizli siteler arası betik saldırısı    



Hassas bilgi ifşası    



Önemli Evet



No PRODSECBUG-2671



CVE-2020-9577 



Komut ekleme



Rastgele kod yürütme



Kritik 



No Evet PRODSECBUG-2695



CVE-2020-9578  



Güvenliği azaltarak atlatma



Rastgele kod yürütme



Kritik



Hayır



Evet



PRODSECBUG-2696



CVE-2020-9579
Güvenliği azaltarak atlatma



Rastgele kod yürütme Kritik



Hayır



Evet



PRODSECBUG-2697



CVE-2020-9580
Gizli siteler arası betik saldırısı



Hassas bilgi ifşası



Önemli



Hayır



Evet



PRODSECBUG-2700



CVE-2020-9581
Komut ekleme



Rastgele kod yürütme



Kritik



Hayır



Evet



PRODSECBUG-2708



CVE-2020-9582
Komut ekleme



Rastgele kod yürütme



Kritik



Hayır



Evet



PRODSECBUG-2710



CVE-2020-9583
Gizli siteler arası betik saldırısı



Hassas bilgi ifşası



Önemli



Evet



Hayır



PRODSECBUG-2715



CVE-2020-9584
Detaylı savunma güvenlik azaltma



Rastgele kod yürütme



Orta dereceli



Hayır



Evet



PRODSECBUG-2541



CVE-2020-9585
Detaylı savunma güvenlik azaltma



Yönetici paneline yetkisiz erişim



Orta dereceli



Evet Evet



MPERF-10898



CVE-2020-9591



Kimlik doğrulama atlatma



Muhtemel yetkisiz ürün indirimleri



Orta dereceli



Evet



Hayır



PRODSECBUG-2518



CVE-2020-9587



Gözlemlenebilir Zaman Uyuşmazlığı İmza doğrulama atlatma



Önemli



Hayır



Evet



PRODSECBUG-2677



CVE-2020-9588
İş mantığı hatası Ayrıcalığı yükseltme Önemli No Evet PRODSECBUG-2722 CVE-2020-9630
Güvenliği azaltarak atlatma Rastgele kod yürütme Kritik No Evet PRODSECBUG-2703 CVE-2020-9631
Güvenliği azaltarak atlatma Rastgele kod yürütme Kritik No Evet PRODSECBUG-2704 CVE-2020-9632
Not:

1.     CVE-2020-9585 varsayılan kurulumlarda engellenir

2.     CVE-2020-9591 sadece Magento 1›i etkiler

Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.   

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.  

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revizyonlar

4 Mayıs 2020: CVE-2020-9586 için teşekkür kaldırıldı.

7 Mayıs 2020: CVE-2020-9630 eklendi. Kasıtsız olarak orijinal sürümden kaldırılmıştı. 

12 Mayıs 2020: CVE-2020-9631 ve CVE-2020-9632 eklendi. Kasıtsız olarak orijinal sürümden kaldırılmışlardı. 

Adobe logosu

Hesabınıza giriş yapın