Sicherheitsupdates für Adobe Commerce APSB22-12
Adobe hat Sicherheitsupdates für Adobe Commerce und Magento Open Source veröffentlicht. Diese Aktualisierungen beheben eine Schwachstelle, die kritisch ist. Eine erfolgreiche Nutzung könnte zu einer willkürlichen Codeausführung führen.
Adobe ist bekannt, dass CVE-2022-24086 bei sehr begrenzten Angriffen auf Adobe Commerce-Händler verwendet wurde. Adobe ist nicht über Exploits in der Wildnis für das in dieser Aktualisierung angesprochene Problem informiert (CVE-2022-24087).
Dieser Artikel enthält zusätzliche Lösungsdetails zur Behebung des Problems.
Betroffene Produkte und Versionen
- Adobe Commerce und Magento Open Source 2.3.3-p1 - 2.3.7-p2 und 2.4.0 - 2.4.3-p1
Lösung für Adobe Commerce in der Cloud-Infrastruktur
Das Problem wurde im Paket Cloud-Patches v1.0.16 behoben. Wir empfehlen ein Upgrade auf das neueste Cloud Patches-Paket, um dieses Problem zu beheben. Das neueste Cloud Patches-Paket enthält alle Upgrades aus früheren Paketen.
Vor dem Upgrade auf das neueste Cloud Patches-Paket müssen Sie die benutzerdefinierten Patches für APSB22-12 deinstallieren. Insbesondere die Patches MDVA-43395 und MDVA-43443. Gehen Sie dazu wie folgt vor.
- Überprüfen Sie, ob die Patches MDVA-43395 und MDVA-43443 installiert sind. Führen Sie diese Schritte aus, um zu erfahren, ob die Patches angewendet werden.
- Wenn die Patches installiert sind, führen Sie die folgenden Schritte aus, um sie zu deinstallieren.
- Führen Sie zum Aktualisieren auf das neueste Cloud Patches-Paket den folgenden Befehl aus:
composer update magento/magento-cloud-patches. - Übernehmen und pushen Sie die Dateien
composer.lockundcomposer.json. - Neu bereitstellen.
Lösung für Adobe Commerce vor Ort und Magento Open Source
Um die Verwundbarkeit zu beheben, wenn Sie sich in Adobe Commerce vor Ort oder in der Magento Open Source befinden, müssen Sie zwei Patches anwenden: MDVA-43395 Patch zuerst und dann MDVA-43443 darauf.
Verwenden Sie je nach Adobe Commerce-Version die folgenden angehängten Patches:
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
Anwenden eines Composer-Patches
Entpacken Sie die Datei und befolgen Sie die Anweisungen unter Anwenden eines von Adobe bereitgestellten Composer-Patches.
Ermitteln, ob die Patches angewendet wurden how-to-tell-whether-the-patches-have-been-applied
Da es nicht einfach zu überprüfen ist, ob das Problem gepatcht wurde, sollten Sie überprüfen, ob die MDVA-43395- und MDVA-43443-Patches erfolgreich angewendet wurden.
Gehen Sie dazu wie folgt vor:
- Installieren Sie das Tool "Qualitätsmuster".
- Führen Sie den folgenden Befehl aus:
vendor/bin/magento-patches -n status |grep "43395|43443|Status" - Sie sollten diese Ausgabe sehen - MDVA-43395 gibt den Status N/A zurück und MDVA-43443 gibt den Status Angewandt zurück:
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
Sicherheitsaktualisierungen
Für Adobe Commerce verfügbare Sicherheitsupdates: