DokumentationCommerceCommerce-Wissensdatenbank

Sicherheitsupdate für Adobe Commerce - APSB24-40

Last update: Thu Aug 01 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Entwickler
NOTE
**Dies ist eine dringende Aktualisierung im Zusammenhang mit CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis bei sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.

Am 17. Juli 2024 haben wir zusätzlich zur Sicherheits-Update-Version vom 11. Juni 2024 und/oder dem am 28. Juni 2024 veröffentlichten isolierten Patch einen hotfix veröffentlicht.

Überprüfen Sie alle Produktions- und Nicht-Produktionsumgebungen, um sicherzustellen, dass Ihr Store auf allen Instanzen vollständig gepatcht ist. Bitte ergreifen Sie sofortige Aktion, um die Schwachstelle zu beheben.

NOTE
Nur für Adobe Commerce auf Cloud-Händlern:

1. Stellen Sie sicher, dass Sie die neueste Version von ECE Tools verwenden. Ist dies nicht der Fall, aktualisieren Sie (oder überspringen Sie auf Artikel 2). Um Ihre vorhandene Version zu überprüfen, führen Sie folgenden Befehl aus:composer show magento/ece-tools
2. Wenn Sie bereits die neueste Version von ECE Tools verwenden, überprüfen Sie, ob die Datei op-exclude.txt vorhanden ist. Führen Sie dazu den folgenden Befehl aus:ls op-exclude.txt. Wenn diese Datei nicht vorhanden ist, fügen Sie https://github.com/magento/magento-cloud/blob/master/op-exclude.txt zu Ihrem Repo hinzu, übernehmen Sie dann die Änderung und stellen Sie sie erneut bereit.
3. Ohne Aktualisierung von ECE Tools können Sie auch einfach https://github.com/magento/magento-cloud/blob/master/op-exclude.txt in Ihrem Repo hinzufügen/ändern, die Änderung dann übernehmen und erneut bereitstellen.

Option 1 - Für Händler, die nicht die Sicherheitsaktualisierung vom 11. Juni 2024 angewendet haben, noch den am 28. Juni 2024 veröffentlichten Einzelpatch

  1. Wenden Sie hotfix an, das am 17. Juli 2024 veröffentlicht wurde.
  2. Wenden Sie den Sicherheits-Patch an.
  3. Aktivieren Sie maintenance mode.
  4. Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud": vendor/bin/ece-tools cron:disable).
  5. Drehen Sie Ihre encryption keys.
  6. Leeren Sie den Cache.
  7. Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  8. Deaktivieren Sie maintenance mode.

ODER

  1. Wenden Sie das isolierte Pflaster an. HINWEIS: Diese Version des isolierten Patches enthält den darin enthaltenen 17. Juli 2024, hotfix.
  2. Aktivieren Sie maintenance mode.
  3. Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud": vendor/bin/ece-tools cron:disable).
  4. Drehen Sie Ihre encryption keys.
  5. Leeren Sie den Cache.
  6. Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  7. Deaktivieren Sie maintenance mode.

Option 2 - Für Händler, die bereits die Sicherheitsaktualisierung vom 11. Juni 2024 angewendet haben, und/oder den am 28. Juni 2024 veröffentlichten isolierten Patch

  1. Wenden Sie hotfix an, das am 17. Juli 2024 veröffentlicht wurde.
  2. Aktivieren Sie maintenance mode.
  3. Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud": vendor/bin/ece-tools cron:disable).
  4. Drehen Sie Ihre encryption keys.
  5. Leeren Sie den Cache.
  6. Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  7. Deaktivieren Sie maintenance mode.

Option 3 - Für Händler, die bereits (1) das Sicherheitsupdate vom 11. Juni 2024 angewendet haben, und/oder (2) den am 28. Juni 2024 veröffentlichten isolierten Patch und (3) Ihre Verschlüsselungsschlüssel rotiert haben

  • Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.
NOTE
Um sicherzustellen, dass Sie nach dem Upgrade weiterhin sicher sind, müssen Sie auch Ihre encryption keys:

1 drehen. Aktivieren Sie maintenance mode.
2. Deaktivieren Sie die Ausführung von cron (Befehl "Commerce on Cloud": vendor/bin/ece-tools cron:disable).
3. Drehen Sie Ihre encryption keys.
4. Aktivieren Sie die Ausführung von cron (Befehl Commerce on Cloud: vendor/bin/ece-tools cron:enable).
5. Deaktivieren Sie maintenance mode.

In diesem Artikel erfahren Sie, wie Sie den isolierten Patch für dieses Problem für die aktuellen und früheren Versionen von Adobe Commerce und Magento Open Source implementieren.
HINWEIS: Diese Version des isolierten Patches enthält den darin enthaltenen 17. Juli 2024, hotfix.

Betroffene Produkte und Versionen

Adobe Commerce on Cloud, Adobe Commerce On-Premise und Magento Open Source:

  • 2.4.7-p1 und früher
  • 2.4.6-p6 und früher
  • 2.4.5-p8 und früher
  • 2.4.4-p9 und früher

Lösung für Adobe Commerce on Cloud, Adobe Commerce On-Premise-Software und Magento Open Source

Um die Sicherheitslücke für die betroffenen Produkte und Versionen zu beheben, müssen Sie den VULN-27015-Patch (je nach Version) anwenden und Ihren encryption keys drehen.

Hotfix-Details hotfix

Details zum isolierten Patch

HINWEIS: Diese Version des isolierten Patches enthält den darin enthaltenen 17. Juli 2024, hotfix.

Verwenden Sie die folgenden angehängten Patches je nach Adobe Commerce-/Magento Open Source-Version:

Für Version 2.4.7, 2.4.7-p1:

Für Versionen 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6:

Für Versionen 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8:

Für Versionen 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9:

Anwenden des isolierten Pflasters und des hotfix

Entpacken Sie die Datei und finden Sie Anweisungen unter Anwenden eines von Adobe bereitgestellten Composer-Patches in unserer Support-Wissensdatenbank.

Nur für Adobe Commerce on Cloud-Händler - Anleitung zum Ermitteln, ob die isolierten Patches angewendet wurden

Da es nicht einfach zu überprüfen ist, ob das Problem gepatcht wurde, sollten Sie überprüfen, ob der isolierte Patch VULN-27015 erfolgreich angewendet wurde.

Gehen Sie dazu wie folgt vor, indem Sie die Datei VULN-27015-2.4.7_COMPOSER.patch als Beispiel verwenden:

  1. Installieren Sie das Tool "Qualitätsmuster".

  2. Führen Sie den Befehl aus:

    cve-2024-34102-tell-if-patch-apply-code

  3. Sie sollten die Ausgabe ähnlich der folgenden sehen, bei der VULN-27015 den Status Angewandt zurückgibt:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Drehen/ändern Sie den encryption key nach dem Anwenden des Pflasters

Sicherheitsaktualisierungen

Für Adobe Commerce verfügbare Sicherheitsupdates:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a