Versionshinweise für Adobe Commerce 2.4.3-Sicherheits-Patches

Diese Versionshinweise zum Sicherheits-Patch erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

  • Fehlerkorrekturen für Sicherheit
  • Sicherheitshinweise, die detailliertere Informationen zu den im Sicherheits-Patch enthaltenen Verbesserungen und Updates enthalten
  • Bekannte Probleme
  • Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
  • Informationen zu den in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

Adobe Commerce 2.4.3-p3

Die Sicherheitsversion Adobe Commerce 2.4.3-p3 enthält Sicherheitskorrekturen für Sicherheitslücken, die in früheren Versionen 2.4.3 identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB22-38.

Anwenden AC-3022.patch weiterhin DHL als Reederei anbieten

DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Merchants, die diese Versionen bereitstellen, sollten gelten AC-3022.patch so schnell wie möglich DHL als Reederei anbieten. Siehe Wenden Sie einen Patch an, um DHL weiterhin als Versandunternehmen anzubieten. Knowledge Base-Artikel für Informationen zum Herunterladen und Installieren des Patches.

Sicherheitshinweise

  • ACL-Ressourcen wurden zum Inventar hinzugefügt.
  • Die Sicherheit der Lagerbestandsvorlage wurde verbessert.

Adobe Commerce 2.4.3-p2

Die Sicherheitsversion Adobe Commerce 2.4.3-p2 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB22-13. Die Patch-Version löst auch die von MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip,MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch, und MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.

Anwenden AC-3022.patch weiterhin DHL als Reederei anbieten

DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Merchants, die diese Versionen bereitstellen, sollten gelten AC-3022.patch so schnell wie möglich DHL als Reederei anbieten. Siehe Wenden Sie einen Patch an, um DHL weiterhin als Versandunternehmen anzubieten. Knowledge Base-Artikel für Informationen zum Herunterladen und Installieren des Patches.

Sicherheitshinweise

  • Die Verwendung von E-Mail-Variablen wurde bereits in Version 2.3.4 als Teil einer Sicherheitsrisikobegrenzung zugunsten einer strikteren Variablensyntax eingestellt. Dieses veraltete Verhalten wurde in dieser Version als Fortsetzung dieser Sicherheitsrisikobegrenzung vollständig entfernt.

    Daher funktionieren E-Mail- oder Newsletter-Vorlagen, die in früheren Versionen funktioniert haben, möglicherweise nicht ordnungsgemäß, nachdem sie auf Adobe Commerce 2.4.3-p2 aktualisiert wurden. Betroffene Vorlagen sind Admin-Überschreibungen, Designs, untergeordnete Designs und Vorlagen aus benutzerdefinierten Modulen oder Erweiterungen von Drittanbietern. Ihre Bereitstellung kann auch nach Verwendung der Upgrade-Kompatibilitätstool , um veraltete Verwendungen zu beheben. Siehe Benutzerdefinierte E-Mail-Vorlagen migrieren Informationen über potenzielle Auswirkungen und Richtlinien für die Migration der betroffenen Vorlagen.

  • OAuth-Zugriffstoken und Token zum Zurücksetzen des Kennworts werden jetzt verschlüsselt, wenn sie in der Datenbank gespeichert werden.

  • Die Validierung wurde verbessert, um das Hochladen von nicht alphanumerischen Dateierweiterungen zu verhindern.

  • Swagger ist jetzt standardmäßig deaktiviert, wenn sich Adobe Commerce im Produktionsmodus befindet.

  • Entwickler können jetzt die Größenbeschränkung für Arrays konfigurieren, die von Adobe Commerce RESTful-Endpunkten pro Endpunkt akzeptiert werden. Siehe API-Sicherheit.

  • Es wurden Mechanismen hinzugefügt, mit denen die Größe und Anzahl der Ressourcen, die ein Benutzer über eine Web-API systemweit anfordern kann, begrenzt und die Standardwerte für einzelne Module überschrieben werden können. Durch diese Verbesserung wird das Problem behoben, das durch MC-43048__set_rate_limits__2.4.3.patch. Siehe API-Sicherheit.

2.4.3-p1

Die Adobe Commerce-Sicherheitsversion 2.4.3-p1 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in der vorherigen Version (Adobe Commerce 2.4.3 und Magento Open Source 2.4.3) identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB21-86. Die Patch-Version enthält auch Fehlerbehebungen für die Braintree, Klarna, und Vertex von Anbietern entwickelte Erweiterungen.

Anwenden AC-3022.patch weiterhin DHL als Reederei anbieten

DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Merchants, die diese Versionen bereitstellen, sollten gelten AC-3022.patch so schnell wie möglich DHL als Reederei anbieten. Siehe Wenden Sie einen Patch an, um DHL weiterhin als Versandunternehmen anzubieten. Knowledge Base-Artikel für Informationen zum Herunterladen und Installieren des Patches.

Hotfixes

Diese Version enthält den folgenden Hotfix und alle Hotfixes, die für die vorherige Patch-Version freigegeben wurden.

Sicherheitshinweise

Sitzungs-IDs wurden aus der Datenbank entfernt. Diese Codeänderung kann zu Änderungen führen, wenn Händler Anpassungen vornehmen oder Erweiterungen installiert haben, die die in der Datenbank gespeicherten Sitzungs-IDs verwenden.

Eingeschränkter Administratorzugriff auf Ordner der Media Gallery. Standardberechtigungen für Media Gallery erlauben jetzt nur Ordneroperationen (Anzeigen, Hochladen, Löschen und Erstellen), die explizit von der Konfiguration erlaubt sind. Admin-Benutzer können nicht mehr über die Media Gallery auf Medien-Assets zugreifen, die außerhalb der catalog/category oder wysiwyg Verzeichnissen. Administratoren, die auf Medien-Assets zugreifen möchten, müssen sie in einen explizit zulässigen Ordner verschieben oder ihre Konfigurationseinstellungen anpassen. Siehe Berechtigungen für Media Library-Ordner ändern.

Geringere Beschränkungen der GraphQL-Abfragekomplexität. Die maximal zulässige GraphQL-Abfragekomplexität wurde verringert, um Denial-of-Service-Angriffe (DOS) zu verhindern. Siehe GraphQL-Sicherheitskonfiguration.

Schwachstellen beim aktuellen Penetrationstest wurden in dieser Version behoben.

Der nicht unterstützte Quellausdruck unsafe-inline wurde aus der Inhaltssicherheitsrichtlinie entfernt frame-ancestors Richtlinie. GitHub-33101

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f