DokumentationCommerceCommerce-Wissensdatenbank

Sicherheitsupdate für Adobe Commerce - APSB24-73

Last update: Tue Oct 29 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Entwickler

Am 08. Oktober 2024 veröffentlichte Adobe ein regelmäßig geplantes Sicherheitsupdate für Adobe Commerce und Adobe Commerce Webhooks Plugin.
Durch diese Aktualisierung werden critical, important- und moderate-Schwachstellen behoben. Eine erfolgreiche Nutzung könnte zu einer willkürlichen Codeausführung, beliebigem Lesen des Dateisystems, Umgehung von Sicherheitsfunktionen und Berechtigungseskalierung führen. Das Bulletin ist Adobe-Sicherheitsbulletin (APSB24-73).

NOTE
CVE-2024-45115, aufgeführt im Sicherheitsbulletin oben, ist nur bei Verwendung des Moduls B2B anwendbar. Um sicherzustellen, dass die Behebung für diese Verwundbarkeit so schnell wie möglich angewendet werden kann, hat Adobe auch einen Isolated Patch veröffentlicht, der CVE-2024-45115 löst.

Bitte wenden Sie so bald wie möglich die neuesten Sicherheitsupdates an. Wenn Sie dies nicht tun, sind Sie anfällig für diese Sicherheitsprobleme, und Adobe verfügt über begrenzte Mittel zur Behebung von Problemen.

NOTE
Wenden Sie sich an Support Services , wenn Probleme beim Anwenden des Sicherheits-Patches/isolierten Patches auftreten.

Betroffene Produkte und Versionen

Adobe Commerce on Cloud und Adobe Commerce vor Ort:

  • 2.4.7-p2 und früher
  • 2.4.6-p7 und früher
  • 2.4.5-p9 und früher
  • 2.4.4-p10 und früher

B2B:

  • 1.4.2-p2 und früher
  • 1.3.5-p7 und früher
  • 1.3.4-p9 und früher
  • 1.3.3-p10 und früher

Lösung für Adobe Commerce auf Cloud- und Adobe Commerce-On-Premise-Software

Um die Verwundbarkeit für die betroffenen Produkte und Versionen zu beheben, müssen Sie den CVE-2024-45115 Isolated Patch anwenden.

Details zum isolierten Patch

Verwenden Sie das folgende angehängte Isolated Patch:

vuln-26510-composer-patch.zip

Anwenden des isolierten Pflasters

Entpacken Sie die Datei und finden Sie Anweisungen unter Anwenden eines von Adobe bereitgestellten Composer-Patches in unserer Support-Wissensdatenbank.

Nur für Adobe Commerce on Cloud-Merchants - Ermitteln, ob die isolierten Patches angewendet wurden

Angenommen, es ist nicht einfach zu überprüfen, ob das Problem gepatcht wurde, sollten Sie überprüfen, ob der CVE-2024-45115 Isolated Patch erfolgreich angewendet wurde.

Führen Sie dazu die folgenden Schritte aus, indem Sie die Datei VULN-27015-2.4.7_COMPOSER.patch als Beispiel verwenden:

  1. Installieren Sie das Tool "Qualitätsmuster".

  2. Führen Sie den Befehl aus:

    cve-2024-34102-tell-if-patch-apply-code

  3. Sie sollten die Ausgabe ähnlich der folgenden sehen, bei der VULN-27015 den Status Angewandt zurückgibt:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Sicherheitsaktualisierungen

Für Adobe Commerce verfügbare Sicherheitsupdates:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a