Sicherheitsupdate für Adobe Commerce - APSB24-40
Am 17. Juli 2024 haben wir zusätzlich zur Sicherheits-Update-Version vom 11. Juni 2024 und/oder dem am 28. Juni 2024 veröffentlichten isolierten Patch einen hotfix veröffentlicht.
Überprüfen Sie alle Produktions- und Nicht-Produktionsumgebungen, um sicherzustellen, dass Ihr Store auf allen Instanzen vollständig gepatcht ist. Bitte ergreifen Sie sofortige Aktion, um die Schwachstelle zu beheben.
1. Stellen Sie sicher, dass Sie die neueste Version von ECE Tools verwenden. Ist dies nicht der Fall, aktualisieren Sie (oder überspringen Sie auf Artikel 2). Um Ihre vorhandene Version zu überprüfen, führen Sie folgenden Befehl aus:
composer show magento/ece-tools
2. Wenn Sie bereits die neueste Version von ECE Tools verwenden, überprüfen Sie, ob die Datei
op-exclude.txt
vorhanden ist. Führen Sie dazu den folgenden Befehl aus:ls op-exclude.txt
. Wenn diese Datei nicht vorhanden ist, fügen Sie https://github.com/magento/magento-cloud/blob/master/op-exclude.txt zu Ihrem Repo hinzu, übernehmen Sie dann die Änderung und stellen Sie sie erneut bereit.3. Ohne Aktualisierung von ECE Tools können Sie auch einfach https://github.com/magento/magento-cloud/blob/master/op-exclude.txt in Ihrem Repo hinzufügen/ändern, die Änderung dann übernehmen und erneut bereitstellen.
Option 1 - Für Händler, die nicht die Sicherheitsaktualisierung vom 11. Juni 2024 angewendet haben, noch den am 28. Juni 2024 veröffentlichten Einzelpatch
- Wenden Sie hotfix an, das am 17. Juli 2024 veröffentlicht wurde.
- Wenden Sie den Sicherheits-Patch an.
- Aktivieren Sie maintenance mode.
- Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud":
vendor/bin/ece-tools cron:disable
). - Drehen Sie Ihre encryption keys.
- Leeren Sie den Cache.
- Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud:
vendor/bin/ece-tools cron:enable
). - Deaktivieren Sie maintenance mode.
ODER
- Wenden Sie das isolierte Pflaster an. HINWEIS: Diese Version des isolierten Patches enthält den darin enthaltenen 17. Juli 2024, hotfix.
- Aktivieren Sie maintenance mode.
- Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud":
vendor/bin/ece-tools cron:disable
). - Drehen Sie Ihre encryption keys.
- Leeren Sie den Cache.
- Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud:
vendor/bin/ece-tools cron:enable
). - Deaktivieren Sie maintenance mode.
Option 2 - Für Händler, die bereits die Sicherheitsaktualisierung vom 11. Juni 2024 angewendet haben, und/oder den am 28. Juni 2024 veröffentlichten isolierten Patch
- Wenden Sie hotfix an, das am 17. Juli 2024 veröffentlicht wurde.
- Aktivieren Sie maintenance mode.
- Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud":
vendor/bin/ece-tools cron:disable
). - Drehen Sie Ihre encryption keys.
- Leeren Sie den Cache.
- Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud:
vendor/bin/ece-tools cron:enable
). - Deaktivieren Sie maintenance mode.
Option 3 - Für Händler, die bereits (1) das Sicherheitsupdate vom 11. Juni 2024 angewendet haben, und/oder (2) den am 28. Juni 2024 veröffentlichten isolierten Patch und (3) Ihre Verschlüsselungsschlüssel rotiert haben
- Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.
1 drehen. Aktivieren Sie maintenance mode.
2. Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud":
vendor/bin/ece-tools cron:disable
).3. Drehen Sie Ihre encryption keys.
4. Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud:
vendor/bin/ece-tools cron:enable
).5. Deaktivieren Sie maintenance mode.
In diesem Artikel erfahren Sie, wie Sie den isolierten Patch für dieses Problem für die aktuellen und früheren Versionen von Adobe Commerce und Magento Open Source implementieren.
HINWEIS: Diese Version des isolierten Patches enthält den darin enthaltenen 17. Juli 2024, hotfix.
Betroffene Produkte und Versionen
Adobe Commerce on Cloud, Adobe Commerce On-Premise und Magento Open Source:
- 2.4.7-p1 und früher
- 2.4.6-p6 und früher
- 2.4.5-p8 und früher
- 2.4.4-p9 und früher
Lösung für Adobe Commerce on Cloud, Adobe Commerce On-Premise-Software und Magento Open Source
Um die Sicherheitslücke für die betroffenen Produkte und Versionen zu beheben, müssen Sie den VULN-27015-Patch (je nach Version) anwenden und Ihren encryption keys drehen.
Hotfix-Details hotfix
- Laden Sie Hotfix AC-12485_Hotfix_COMPOSER_patch.zip herunter.
Details zum isolierten Patch
HINWEIS: Diese Version des isolierten Patches enthält den darin enthaltenen 17. Juli 2024, hotfix.
Verwenden Sie die folgenden angehängten Patches je nach Adobe Commerce-/Magento Open Source-Version:
Für Version 2.4.7:
Für Versionen 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
Für Versionen 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
Für die Versionen 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
Anwenden des isolierten Pflasters und des hotfix
Entpacken Sie die Datei und finden Sie Anweisungen unter Anwenden eines von Adobe bereitgestellten Composer-Patches in unserer Support-Wissensdatenbank.
Nur für Adobe Commerce on Cloud-Händler - Anleitung zum Ermitteln, ob die isolierten Patches angewendet wurden
Da es nicht einfach zu überprüfen ist, ob das Problem gepatcht wurde, sollten Sie überprüfen, ob der isolierte Patch VULN-27015 erfolgreich angewendet wurde.
Gehen Sie dazu wie folgt vor, indem Sie die Datei VULN-27015-2.4.7_COMPOSER.patch
als Beispiel verwenden:
-
Führen Sie den Befehl aus:
-
Sie sollten die Ausgabe ähnlich der folgenden sehen, bei der VULN-27015 den Status Angewandt zurückgibt:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Drehen/ändern Sie den encryption key nach dem Anwenden des Pflasters
Eine Anleitung zum Drehen/Ändern des encryption key nach dem Anwenden des Patches finden Sie im Handbuch für Admin-Systeme: Encryption keyim Commerce Admin Systems Guide .
Zusätzliche Anleitungen zum Schützen Ihres Stores und Wechseln von Verschlüsselungsschlüsseln
Weitere Anleitungen zum Schützen Ihres Stores und Wechseln der Verschlüsselungsschlüssel für CVE-2024-34102 finden Sie unter Anleitung zum Schützen Ihrer Speicher- und Drehschlüsseln: CVE-2024-34102, auch in der Adobe Commerce-Wissensdatenbank.
Sicherheitsaktualisierungen
Für Adobe Commerce verfügbare Sicherheitsupdates:
Verwandtes Lesen
Aktivieren oder deaktivieren Sie maintenance mode im Adobe Commerce-Installationshandbuch