从数据库中删除失败的登录尝试
本文介绍如何从Adobe Commerce内部部署和Adobe Commerce on cloud infrastructure数据库中删除预先存在的失败登录凭据。 对于版本2.2.10+和2.3.3+,您只需要运行附加的脚本。 对于较旧版本2.3.0-2.3.2-p2,您需要应用修补程序以停止日志记录并运行附加的脚本以删除预先存在的失败登录凭据。
受影响的产品和版本
- 此问题影响Magento Open Source、Adobe Commerce内部部署以及Cloud Infrastructure 2.2.x、2.3.x及更早版本上的Adobe Commerce。
- Adobe Commerce 1.x部署不受影响。
问题
2019年,向Adobe Commerce报告了以下错误:允许将失败的登录尝试记录到Adobe Commerce 2.3.x和2.2.x中的数据库。作为回应,Adobe Commerce在Adobe Commerce 2.3.3和2.2.10(2019年10月发布)中包含了此问题的修复。 虽然针对该错误的修复已停止记录失败的登录尝试,但在更新到这些当前版本之前收集的信息可能仍然存在。 此最新修复会清除之前记录的登录尝试信息(如果有)。 在常见漏洞和暴露中描述并跟踪了CVE-2019-8118。
解决方案
是需要使用附加的脚本和修补程序,还是只需要使用脚本,这取决于您的Adobe Commerce版本:
Adobe Commerce和Magento Open Source版本2.3.0-2.3.2-p2
对于这些版本,必须应用修补程序并运行附加的数据库清理脚本,以结束连续日志记录并消除日志。
-
运行编辑器修补程序以停止日志记录。 此修补程序已附加到文章。 要下载它,请向下滚动到文章的结尾并单击文件名,或单击以下链接CLEANUP_PATCH_COMPOSER_2.3.2.patch。 有关如何应用修补程序的说明,请参阅我们的支持知识库中的如何应用Adobe Commerce提供的编辑器修补程序。
-
现在,运行脚本以清除预先存在的失败登录尝试的数据库。 此脚本已附加到文章。 要下载它,请向下滚动到文章结尾并单击文件名,或单击以下链接DB_CLEANUP_SCRIPT_v2.php。
有关说明,请参阅 如何运行脚本 部分。
Adobe Commerce和Magento Open Source版本2.3.3及更高版本/2.2.10及更高版本
仅对于这些版本,请运行以下脚本以清除旧日志(之前通过2019年10月发布的修复程序终止了这些版本的日志记录)。 此脚本已附加到文章。 要下载它,请向下滚动到文章结尾并单击文件名,或单击以下链接DB_CLEANUP_SCRIPT_v2.php。
有关说明,请参阅我们的支持知识库中的 如何运行脚本 部分。
如何运行脚本
请按照以下说明运行脚本:
- 将
DB_CLEANUP_SCRIPT_v2.php放在Adobe Commerce或Magento Open Source安装的根目录中(与包含app/bootstrap.php的应用程序位于同一目录中)。 - 在终端
php DB_CLEANUP_SCRIPT_v2.php中运行此命令,它将开始数据库清理过程。
如果在运行脚本时遇到任何问题,请提交支持票证或发送电子邮件至security@magento.com。
附加文件
CLEANUP_PATCH_COMPOSER_2.3.2.patch