Dokumentation Commerce Commerce-Wissensdatenbank

Sicherheitsupdate für Adobe Commerce verfügbar - APSB24-40

Letzte Aktualisierung: 19. Dezember 2024

Themen:
Compliance

Erstellt für:

Entwickler

NOTE

**Dies ist eine dringende Aktualisierung im Zusammenhang mit CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgebeutet wurde.

Am 17. Juli 2024 haben wir zusätzlich zum Sicherheits-Update vom 11. Juni 2024 und/oder zum isolierten Patch vom 28. Juni 2024 ein hotfix veröffentlicht.

Überprüfen Sie alle Produktions- und Nicht-Produktionsumgebungen, um sicherzustellen, dass Ihr Store auf allen Instanzen vollständig gepatcht ist. Bitte sofortige Maßnahmen um die Sicherheitslücke zu schließen.

NOTE

Nur für Adobe Commerce auf Cloud-Händler:

1. Stellen Sie sicher, dass Sie die neueste Version von ECE Tools verwenden. Falls nicht, führen Sie ein Upgrade durch (oder fahren Sie mit Punkt 2 fort). Führen Sie diesen Befehl aus, um Ihre vorhandene Version zu überprüfencomposer show magento/ece-tools
. Wenn Sie bereits die neueste Version von ECE Tools verwenden, überprüfen Sie, ob die op-exclude.txt vorhanden ist. Führen Sie dazu den folgenden Befehl aus: ls op-exclude.txt.Wenn diese Datei nicht vorhanden ist, fügen Sie https://github.com/magento/magento-cloud/blob/master/op-exclude.txt zu Ihrem Repository hinzu, übertragen Sie dann die Änderung und stellen Sie sie erneut bereit.
3. Ohne ECE Tools aktualisieren zu müssen, können Sie auch einfach https://github.com/magento/magento-cloud/blob/master/op-exclude.txt in Ihrem Repository hinzufügen/ändern, dann die Änderung übernehmen und erneut bereitstellen.

Option 1: Für Händler, das Sicherheits Update vom 11. Juni 2024 noch das isolierte Patch vom 28. Juni 2024 angewendet haben

Apply hotfix published on July 17, 2024.
Wenden Sie den Sicherheits-Patch an.
maintenance mode aktivieren.
cron deaktivieren (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
Drehen Sie Ihre encryption keys.
Leeren Sie den Cache.
Aktivieren Sie cron Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
maintenance mode deaktivieren.

ODER

Das isolierte Pflaster aufkleben. HINWEIS: Diese Version des isolierten Patches enthält den 17. Juli 2024, hotfix darin.
maintenance mode aktivieren.
cron deaktivieren (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
Drehen Sie Ihre encryption keys.
Leeren Sie den Cache.
Aktivieren Sie cron Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
maintenance mode deaktivieren.

Option 2 - Für Händler, das Sicherheits Update vom 11. Juni 2024 und/oder den isolierten Patch vom 28. Juni 2024 bereits angewendet haben

Apply hotfix published on July 17, 2024.
maintenance mode aktivieren.
cron deaktivieren (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
Drehen Sie Ihre encryption keys.
Leeren Sie den Cache.
Aktivieren Sie cron Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
maintenance mode deaktivieren.

Option 3 - Für Händler, die bereits (1) das Sicherheits-Update vom 11. Juni 2024 angewendet haben und/oder (2) den isolierten Patch, der am 28. Juni 2024 veröffentlicht wurde, und (3) Ihre Verschlüsselungsschlüssel rotiert haben

Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

NOTE

Um sicherzustellen, dass Sie nach dem Upgrade immer noch sicher sind, müssen Sie auch Ihre encryption keys:

1 drehen. maintenance mode aktivieren.
2. cron deaktivieren (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:disable).
3. encryption keys drehen.
4. Aktivieren Sie cron Ausführung (Commerce in Cloud-Befehl: vendor/bin/ece-tools cron:enable).
5. maintenance mode deaktivieren.

In diesem Artikel erfahren Sie, wie Sie den isolierten Patch für dieses Problem für die aktuellen und früheren Versionen von Adobe Commerce und Magento Open Source implementieren.
HINWEIS: Diese Version des isolierten Patches enthält den 17. Juli 2024, hotfix darin.

Betroffene Produkte und Versionen

Adobe Commerce on Cloud, Adobe Commerce On-Premise und Magento Open Source:

2.4.7-P1 und früher
2.4.6-P6 und früher
2.4.5-P8 und früher
2.4.4-P9 und früher

Lösung für Adobe Commerce on Cloud, Adobe Commerce On-Premise-Software und Magento Open Source

Um die Sicherheitsanfälligkeit für die betroffenen Produkte und Versionen zu beheben, müssen Sie den VULN-27015 Patch (abhängig von Ihrer Version) anwenden und Ihre encryption keys rotieren.

Hotfix-Details

Laden Sie die Hotfix AC-12485_Hotfix_COMPOSER_patch.zip herunter

Details zu isolierten Patches

HINWEIS: Diese Version des isolierten Patches enthält den 17. Juli 2024, hotfix darin.

Verwenden Sie je nach Adobe Commerce-/Magento Open Source-Version die folgenden angehängten Patches:

Für Version 2.4.7:

VULN-27015-2.4.7x_v2_COMPOSER_patch.zip

Für die Versionen 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

VULN-27015-2.4.6x_v2_COMPOSER_patch.zip

Für die Versionen 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

VULN-27015-2.4.5x_v2_COMPOSER_patch.zip

Für die Versionen 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

VULN-27015-2.4.4x_v2_COMPOSER_patch.zip

Anbringen des isolierten Pflasters und der hotfix

Entpacken Sie die Datei und Sie in unserer SupportWissensdatenbank die Anleitung „So wenden Sie einen Composer-Patch von Adobe an“.

Nur für Adobe Commerce on Cloud-Händler - Ermitteln, ob die isolierten Patches angewendet wurden

Da es nicht einfach möglich ist, zu überprüfen, ob das Problem behoben wurde, sollten Sie überprüfen, ob der VULN-27015 isolierte Patch erfolgreich angewendet wurde.

Sie können dies tun, indem Sie die folgenden Schritte ausführen und dabei die Datei VULN-27015-2.4.7_COMPOSER.patch als Beispiel verwenden:

Installieren Sie das Quality Patches Tool.
Führen Sie den folgenden Befehl aus:

Es sollte eine ähnliche Ausgabe angezeigt werden, bei der VULN-27015 den Status Angewendet zurückgibt:

║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Drehen/ändern Sie die encryption key nach dem Aufkleben des Pflasters

Eine Anleitung Drehen/Ändern der encryption key nach dem Anwenden des Patches finden Sie im Handbuch für Admin-Systeme: Encryption key in der Dokumentation zum Commerce-Handbuch für Admin-Systeme.

Zusätzliche Anleitungen zum Schützen Ihres Geschäfts und zum Drehen von Verschlüsselungsschlüsseln

Weitere Anleitungen zum Schützen Ihres Stores und zum Rotieren von Verschlüsselungsschlüsseln in CVE-2024-34102 finden Sie Anleitung zum Schützen Ihres Stores und zum Rotieren von Verschlüsselungsschlüsseln: CVE-2024-34102, ebenfalls in der Adobe Commerce Knowledge Base.

Sicherheits-Updates

Für Adobe Commerce verfügbare Sicherheitsupdates:

Sicherheitsupdate für Adobe Commerce verfügbar - APSB24-40

Option 1: Für Händler, das Sicherheits Update vom 11. Juni 2024 noch das isolierte Patch vom 28. Juni 2024 angewendet haben

Option 2 - Für Händler, das Sicherheits Update vom 11. Juni 2024 und/oder den isolierten Patch vom 28. Juni 2024 bereits angewendet haben

Option 3 - Für Händler, die bereits (1) das Sicherheits-Update vom 11. Juni 2024 angewendet haben und/oder (2) den isolierten Patch, der am 28. Juni 2024 veröffentlicht wurde, und (3) Ihre Verschlüsselungsschlüssel rotiert haben

Betroffene Produkte und Versionen

Lösung für Adobe Commerce on Cloud, Adobe Commerce On-Premise-Software und Magento Open Source

Hotfix-Details

Details zu isolierten Patches

Für Version 2.4.7:

Für die Versionen 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Für die Versionen 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Für die Versionen 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Anbringen des isolierten Pflasters und der hotfix

Nur für Adobe Commerce on Cloud-Händler - Ermitteln, ob die isolierten Patches angewendet wurden

Drehen/ändern Sie die encryption key nach dem Aufkleben des Pflasters

Zusätzliche Anleitungen zum Schützen Ihres Geschäfts und zum Drehen von Verschlüsselungsschlüsseln

Sicherheits-Updates

Verwandtes Lesen