Adobe Güvenlik Bülteni

Ara

Son güncelleme: 21 May 2021 | Ayrıca şunun için geçerlidir: Digital Editions

Magento için güvenlik güncellemeleri mevcut | APSB20-22

Bülten No	Yayınlandığı Tarih	Öncelik
ASPB20-22	28 Nisan 2020	2

Özet

Magento, Magento Commerce ve Açık Kaynak sürümleri için güncellemeler yayınladı.Bu güncellemeler Kritik, Önemli ve Orta Dereceli (ciddiyet dereceleri) güvenlik açıklarını gidermektedir.Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.

Etkilenen Sürümler

Ürün	Sürüm	Platform
Magento Commerce	2.3.4 ve önceki sürümleri	Tümü
Magento Açık Kaynak	2.3.4 ve önceki sürümleri	Tümü
Magento Commerce	2.2.11 ve önceki sürümleri (bkz. notlar)	Tümü
Magento Açık Kaynak	2.2.11 ve önceki sürümleri (bkz. notlar)	Tümü
Magento Enterprise Edition	1.14.4.4 ve önceki sürümleri	Tümü
Magento Community Edition	1.9.4.4 ve önceki sürümleri	Tümü

Not:

Magento 2.2x, 31 Aralık 2019›da destek ömrünün sonuna geldi.

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün	Sürüm	Platform	Öncelik Derecelendirme	Bulunma Durumu
Magento Commerce	2.3.4-p2	Tümü	2	2.3.4-p2 Commerce
Magento Açık Kaynak	2.3.4-p2	Tümü	2	2.3.4-p2 Açık Kaynak
Magento Commerce	2.3.5-p1	Tümü	2	2.3.5 Commerce
Magento Açık Kaynak	2.3.5-p1	Tümü	2	2.3.5 Açık Kaynak
Magento Enterprise Edition	1.14.4.5	Tümü	2	1.14.4.5
Magento Community Edition	1.9.4.5	Tümü	2	1.9.4.5

Not:

Magento Commerce 2.2.12, Commerce müşterilerine genişletilmiş destek sağlamak için özel olarak mevcuttur.

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	Ön kimlik doğrulama?	Yönetici ayrıcalıkları gerekli?	Magento Bug ID	CVE numaraları
Komut ekleme	Rastgele kod yürütme	Kritik	No	Evet	PRODSECBUG-2707	CVE-2020-9576
Gizli siteler arası betik saldırısı	Hassas bilgi ifşası	Önemli	Evet	No	PRODSECBUG-2671	CVE-2020-9577
Komut ekleme	Rastgele kod yürütme	Kritik	No	Evet	PRODSECBUG-2695	CVE-2020-9578
Güvenliği azaltarak atlatma	Rastgele kod yürütme	Kritik	Hayır	Evet	PRODSECBUG-2696	CVE-2020-9579
Güvenliği azaltarak atlatma	Rastgele kod yürütme	Kritik	Hayır	Evet	PRODSECBUG-2697	CVE-2020-9580
Gizli siteler arası betik saldırısı	Hassas bilgi ifşası	Önemli	Hayır	Evet	PRODSECBUG-2700	CVE-2020-9581
Komut ekleme	Rastgele kod yürütme	Kritik	Hayır	Evet	PRODSECBUG-2708	CVE-2020-9582
Komut ekleme	Rastgele kod yürütme	Kritik	Hayır	Evet	PRODSECBUG-2710	CVE-2020-9583
Gizli siteler arası betik saldırısı	Hassas bilgi ifşası	Önemli	Evet	Hayır	PRODSECBUG-2715	CVE-2020-9584
Detaylı savunma güvenlik azaltma	Rastgele kod yürütme	Orta dereceli	Hayır	Evet	PRODSECBUG-2541	CVE-2020-9585
Detaylı savunma güvenlik azaltma	Yönetici paneline yetkisiz erişim	Orta dereceli	Evet	Evet	MPERF-10898	CVE-2020-9591
Kimlik doğrulama atlatma	Muhtemel yetkisiz ürün indirimleri	Orta dereceli	Evet	Hayır	PRODSECBUG-2518	CVE-2020-9587
Gözlemlenebilir Zaman Uyuşmazlığı	İmza doğrulama atlatma	Önemli	Hayır	Evet	PRODSECBUG-2677	CVE-2020-9588
İş mantığı hatası	Ayrıcalığı yükseltme	Önemli	No	Evet	PRODSECBUG-2722	CVE-2020-9630
Güvenliği azaltarak atlatma	Rastgele kod yürütme	Kritik	No	Evet	PRODSECBUG-2703	CVE-2020-9631
Güvenliği azaltarak atlatma	Rastgele kod yürütme	Kritik	No	Evet	PRODSECBUG-2704	CVE-2020-9632

Not:

1. CVE-2020-9585 varsayılan kurulumlarda engellenir

2. CVE-2020-9591 sadece Magento 1›i etkiler

Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
Flatmoon (CVE-2020-9577)
Y0natan (CVE-2020-9578)
Edgar Boda-Majer (CVE-2020-9580)
Qubitz (CVE-2020-9585)
Magnusg (CVE-2020-9587)
Wasin Sae-ngow (CVE-2020-9588)
Max Chadwick (CVE-2020-9630)