從資料庫移除失敗的登入嘗試
本文說明如何從Adobe Commerce內部部署和Adobe Commerce的雲端基礎結構資料庫移除預先存在的失敗登入認證。 若是2.2.10+和2.3.3+版本,您只需要執行附加的指令碼。 若是舊版2.3.0-2.3.2-p2,您必須套用修補程式以停止記錄,並執行附加的指令碼以移除先前存在的失敗登入認證。
受影響的產品和版本
- 此問題會影響雲端基礎結構2.2.x、2.3.x及舊版上的Magento Open Source、Adobe Commerce內部部署和Adobe Commerce。
- Adobe Commerce 1.x部署不受影響。
問題
2019年向Adobe Commerce回報了錯誤,允許將失敗的登入嘗試登入Adobe Commerce 2.3.x和2.2.x中的資料庫。為回應此問題,Adobe Commerce在Adobe Commerce 2.3.3和2.2.10 (2019年10月發行)中納入了修正。 雖然該錯誤的修正已停止記錄失敗的登入嘗試,但在更新到這些目前版本之前收集的資訊可能仍然存在。 此最新修正會清除先前記錄的登入嘗試資訊(如果有的話)。 CVE-2019-8118已在常見漏洞和暴露中說明和追蹤。
解決方案
您需要使用附加的指令碼和修補程式,還是只需要指令碼,端視您的Adobe Commerce版本而定:
Adobe Commerce和Magento Open Source版本2.3.0-2.3.2-p2
對於這些版本,您必須套用修補程式並執行附加的資料庫清理指令碼,以結束持續記錄並消除記錄。
-
執行Composer修補程式以停止記錄。 此修補程式已附加至文章。 若要下載,請向下捲動至文章結尾並按一下檔案名稱,或按一下下列連結CLEANUP_PATCH_COMPOSER_2.3.2.patch。 如需如何套用修補程式的說明,請參閱我們的支援知識庫中的如何套用Adobe Commerce提供的撰寫器修補程式。
-
現在執行指令碼以清除先前存在的失敗登入嘗試的資料庫。 此指令碼已附加至文章。 若要下載,請向下捲動至文章結尾並按一下檔案名稱,或按一下下列連結DB_CLEANUP_SCRIPT_v2.php。
如需指示,請參閱 如何執行指令碼 區段。
Adobe Commerce和Magento Open Source版本2.3.3及更高版本/2.2.10及更高版本
僅針對這些版本,執行以下指令碼以清除舊記錄(先前透過2019年10月發佈的修正已結束這些版本的記錄)。 此指令碼已附加至文章。 若要下載,請向下捲動至文章結尾並按一下檔案名稱,或按一下下列連結DB_CLEANUP_SCRIPT_v2.php。
請參閱我們的支援知識庫中的 如何執行指令碼 一節,以取得指示。
如何執行指令碼
請依照下列指示執行指令碼:
- 將
DB_CLEANUP_SCRIPT_v2.php
放在Adobe Commerce或Magento Open Source安裝的根目錄中(與包含app/bootstrap.php
的應用程式位於同一個目錄中)。 - 在終端機中執行此命令:
php DB_CLEANUP_SCRIPT_v2.php
,它將開始資料庫清理程式。
如果您在執行指令碼時遇到任何問題,請提交支援票證,或傳送電子郵件至security@magento.com。
附加的檔案
CLEANUP_PATCH_COMPOSER_2.3.2.patch