Dokumentation

Sicherheitsupdate für Adobe Commerce verfügbar - APSB24-40

Last update: Tue Jul 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Hinweis: **Dies ist ein dringendes Update im Zusammenhang mit CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgebeutet wurde.

Am 17. Juli 2024 haben wir zusätzlich zum Sicherheits-Update am 11. Juni 2024 und/oder dem isolierten Patch vom 28. Juni 2024 einen Hotfix veröffentlicht.

Überprüfen Sie alle Produktions- und Nicht-Produktionsumgebungen, um sicherzustellen, dass Ihr Store auf allen Instanzen vollständig gepatcht ist. Bitte ergreifen Sie sofort Maßnahmen, um die Sicherheitslücke zu schließen.

Hinweis: Nur für Adobe Commerce on Cloud-Händler:

  1. Stellen Sie sicher, dass Sie die neueste Version der ECE-Tools verwenden. Falls nicht, führen Sie ein Upgrade durch (oder fahren Sie mit Punkt 2 fort). Um Ihre vorhandene Version zu überprüfen, führen Sie diesen Befehl aus: composer show magento/ece-tools
  2. Wenn Sie bereits die neueste Version der ECE-Tools verwenden, überprüfen Sie, ob die op-exclude.txt vorhanden ist. Führen Sie dazu den folgenden Befehl aus: ls op-exclude.txt. Wenn diese Datei nicht vorhanden ist, fügen Sie https://github.com/magento/magento-cloud/blob/master/op-exclude.txt zu Ihrem Repository hinzu, übertragen Sie dann die Änderung und stellen Sie sie erneut bereit.
  3. Ohne ECE-Tools aktualisieren zu müssen, können Sie auch einfach https://github.com/magento/magento-cloud/blob/master/op-exclude.txt in Ihrem Repository hinzufügen/ändern, dann die Änderung übernehmen und erneut bereitstellen.

Option 1 - Für Händler, die das Sicherheits-Update vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben

  1. Anwenden eines Hotfixes, das am 17. Juli 2024 veröffentlicht wurde.
  2. Wenden Sie den Sicherheits-Patch an.
  3. Wartungsmodus aktivieren.
  4. Deaktivieren Sie die Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
  5. Drehen Sie Ihre Verschlüsselungsschlüssel.
  6. Leeren Sie den Cache.
  7. Aktivieren der Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
  8. Deaktivieren Sie den Wartungsmodus.

ODER

  1. Das isolierte Pflaster aufkleben. Hinweis: Diese Version des isolierten Patches enthält den Hotfix vom 17. Juli 2024.
  2. Wartungsmodus aktivieren.
  3. Deaktivieren Sie die Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
  4. Drehen Sie Ihre Verschlüsselungsschlüssel.
  5. Leeren Sie den Cache.
  6. Aktivieren der Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
  7. Deaktivieren Sie den Wartungsmodus.

Option 2 - Für Händler, die das Sicherheits-Update vom 11. Juni 2024 und/oder den isolierten Patch vom 28. Juni 2024 bereits angewendet haben

  1. Anwenden eines Hotfixes, das am 17. Juli 2024 veröffentlicht wurde.
  2. Wartungsmodus aktivieren.
  3. Deaktivieren Sie die Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
  4. Drehen Sie Ihre Verschlüsselungsschlüssel.
  5. Leeren Sie den Cache.
  6. Aktivieren der Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
  7. Deaktivieren Sie den Wartungsmodus.

Option 3 - Für Händler, die das Sicherheits-Update vom 11. Juni 2024 bereits angewendet haben (1), und/oder (2) den isolierten Patch, der am 28. Juni 2024 veröffentlicht wurde, und (3) die Verschlüsselungsschlüssel rotiert haben

  • Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

Hinweis: Um sicherzustellen, dass Sie nach dem Upgrade immer noch sicher sind, müssen Sie auch Ihre Verschlüsselungsschlüssel rotieren:

  1. Wartungsmodus aktivieren.
  2. Deaktivieren Sie die Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
  3. Drehen Sie Ihre Verschlüsselungsschlüssel.
  4. Aktivieren der Cron-Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
  5. Deaktivieren Sie den Wartungsmodus.

In diesem Artikel erfahren Sie, wie Sie den isolierten Patch für dieses Problem für die aktuellen und früheren Versionen von Adobe Commerce und Magento Open Source implementieren.

Hinweis: Diese Version des isolierten Patches enthält den Hotfix vom 17. Juli 2024.

Beschreibung description

Betroffene Produkte und Versionen

Adobe Commerce on Cloud, Adobe Commerce On-Premise und Magento Open Source:

  • 2.4.7-P1 und früher
  • 2.4.6-P6 und früher
  • 2.4.5-P8 und früher
  • 2.4.4-P9 und früher

Auflösung resolution

Lösung für Adobe Commerce on Cloud, Adobe Commerce On-Premise-Software und Magento Open Source

Um die Sicherheitslücke für die betroffenen Produkte und Versionen zu beheben, müssen Sie den VULN-27015 Patch (abhängig von Ihrer Version) anwenden und Ihre Verschlüsselungsschlüssel rotieren.

Hotfix-Details

Details zu isolierten Patches

Hinweis: Diese Version des isolierten Patches enthält den Hotfix vom 17. Juli 2024.

Verwenden Sie je nach Adobe Commerce-/Magento Open Source-Version die folgenden angehängten Patches:

Für Version 2.4.7:

Für die Versionen 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Für die Versionen 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Für die Versionen 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Anwenden des isolierten Patches und des Hotfixes

Entpacken Sie die Datei und Sie in unserer SupportWissensdatenbank die Anleitung „So wenden Sie einen von Adobe bereitgestellten Composer-Patch an“.

Nur für Adobe Commerce on Cloud-Händler - Ermitteln, ob die isolierten Patches angewendet wurden

Da es nicht einfach möglich ist, zu überprüfen, ob das Problem behoben wurde, sollten Sie überprüfen, ob der VULN-27015 isolierte Patch erfolgreich angewendet wurde.

Dies können Sie tun, indem Sie die folgenden Schritte ausführen und dabei die Datei VULN-27015-2.4.7_COMPOSER.patch als Beispiel verwenden:

  1. Installieren Sie das Quality Patches Tool.

  2. Führen Sie den folgenden Befehl aus: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. Es sollte eine ähnliche Ausgabe angezeigt werden, bei der VULN-27015 den   Angewendet Status:

    table 0-row-6 1-row-6
    ID Titel Kategorie Origin Status Details
    k. A. …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Sonstige Lokal Angewendet Patch-Typ: Benutzerdefiniert

Drehen/Ändern des Verschlüsselungsschlüssels nach dem Anwenden des Patches

Eine Anleitung Drehen/Ändern des Verschlüsselungsschlüssels nach dem Anbringen des Patches finden Sie unter Handbuch für Admin-Systeme: Verschlüsselungsschlüssel in der Dokumentation zum Commerce-Handbuch für Admin-Systeme.

Zusätzliche Anleitungen zum Schützen Ihres Geschäfts und zum Drehen von Verschlüsselungsschlüsseln

Weitere Anleitungen zum Schützen Ihres Stores und zum Drehen von Verschlüsselungsschlüsseln für CVE-2024-34102 finden Sie unter Anleitung zum Schützen Ihres Stores und zum Drehen von Verschlüsselungsschlüsseln: CVE-2024-34102, ebenfalls in der Adobe Commerce Knowledge Base.

Sicherheitsaktualisierungen

Für Adobe Commerce verfügbare Sicherheitsupdates:

Verwandtes Lesen

Aktivieren oder Deaktivieren desim Adobe Commerce-Installationshandbuch

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f