Remover tentativas de logon com falha do banco de dados

NOTE
Este artigo foi atualizado em 13 de abril de 2020, com um novo script chamado DB_CLEANUP_SCRIPT_v2. Use o script DB_CLEANUP_SCRIPT_v2 anexado para limpar dados de logon com falha pré-existentes em tabelas adicionais. Você precisa usar DB_CLEANUP_SCRIPT_v2, mesmo que tenha executado DB_CLEANUP_SCRIPT_v1 anteriormente para ajudar a garantir que tabelas adicionais sejam limpas.

Este artigo explica como remover credenciais de logon com falha pré-existentes do banco de dados do Adobe Commerce no local e do Adobe Commerce na infraestrutura em nuvem. Para as versões 2.2.10+ e 2.3.3+, é necessário apenas executar o script anexado. Para versões mais antigas 2.3.0-2.3.2-p2, é necessário aplicar um patch para interromper o registro e executar o script anexado para remover as credenciais de logon com falha pré-existentes.

Produtos e versões afetados

  • Esse problema afeta o Magento Open Source, o Adobe Commerce no local e o Adobe Commerce na infraestrutura em nuvem 2.2.x, 2.3.x e versões anteriores.
  • As implantações do Adobe Commerce 1.x não são afetadas.

Problema

Em 2019, um erro foi relatado ao Adobe Commerce que permitia que tentativas de logon com falha fossem registradas em um banco de dados no Adobe Commerce 2.3.x e 2.2.x. Em resposta, a Adobe Commerce incluiu uma correção para esse problema no Adobe Commerce 2.3.3 e 2.2.10 (lançado em outubro de 2019). Embora a correção desse erro tenha interrompido o registro de tentativas de logon com falha, as informações coletadas antes da atualização para essas versões atuais ainda podem existir. A correção mais recente apaga as informações de tentativas de logon registradas anteriormente, se houver. CVE-2019-8118 é descrito e rastreado em Vulnerabilidades e Exposições Comuns.

Solução

Se você precisa usar o script anexado e o patch ou apenas o script, depende da sua versão do Adobe Commerce:

Adobe Commerce e Magento Open Source versões 2.3.0-2.3.2-p2

Para essas versões, você deve aplicar o patch e executar o script de limpeza do banco de dados anexado para encerrar o registro contínuo e eliminar logs.

  1. Execute o patch do compositor para parar o registro. Este patch está anexado ao artigo. Para baixá-lo, role até o final do artigo e clique no nome do arquivo ou clique no link a seguir CLEANUP_PATCH_COMPOSER_2.3.2.patch. Para obter instruções sobre como aplicar o patch, consulte Como aplicar um patch de compositor fornecido pelo Adobe Commerce em nossa base de conhecimento de suporte.

  2. Agora execute o script para limpar o banco de dados das tentativas de logon com falha pré-existentes. Este script é anexado ao artigo. Para baixá-lo, role até o final do artigo e clique no nome do arquivo ou clique no link a seguir DB_CLEANUP_SCRIPT_v2.php.

Consulte a Como executar o script para obter instruções.

Adobe Commerce e Magento Open Source versões 2.3.3 e posteriores/2.2.10 e posteriores

Para essas versões somente, execute o script abaixo para limpar registros antigos (o registro foi encerrado anteriormente para essas versões por meio de uma correção lançada em outubro de 2019). Este script é anexado ao artigo. Para baixá-lo, role até o final do artigo e clique no nome do arquivo ou clique no link a seguir DB_CLEANUP_SCRIPT_v2.php.

Consulte a Como executar o script seção em nossa base de conhecimento de suporte, para obter instruções.

Como executar o script

Siga as instruções abaixo para executar o script:

  1. Put DB_CLEANUP_SCRIPT_v2.php no diretório raiz da instalação do Adobe Commerce ou Magento Open Source (no mesmo diretório que o aplicativo que contém app/bootstrap.php).
  2. Execute este comando no terminal: php DB_CLEANUP_SCRIPT_v2.php e iniciará o processo de limpeza do banco de dados.

Se você encontrar problemas ao executar o script, enviar um tíquete de suporte ou envie um email para security@magento.com.

Arquivos anexados

CLEANUP_PATCH_COMPOSER_2.3.2.patch

DB_CLEANUP_SCRIPT_v2.php

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a