Versionshinweise für Adobe Commerce 2.4.3-Sicherheits-Patches
Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerbehebungen bei der Sicherheit
- Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu allen in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Überblick über Adobe Commerce Security-Patch-Versionen
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie im Upgrade-Handbuch
Adobe Commerce 2.4.3-p3
Die Adobe Commerce-Version 2.4.3-p3 bietet Sicherheitskorrekturen für Sicherheitslücken, die in früheren Versionen von 2.4.3 identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB22-38.
Wenden Sie AC-3022.patch an, um DHL weiterhin als Versandunternehmen anzubieten
DHL hat die Schemaversion 6.2 eingeführt und wird die Schemaversion 6.0 in naher Zukunft einstellen. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten AC-3022.patch so bald wie möglich beantragen, DHL weiterhin als Reederei anzubieten. Informationen Herunterladen und Installieren des Patches finden Sie im Knowledgebase-ArtikelApply a patch to continue offer DHL as a shipping carrier) .
Sicherheits-Highlights
- ACL-Ressourcen wurden dem Inventar hinzugefügt.
- Die Sicherheit der Inventarvorlage wurde verbessert.
Adobe Commerce 2.4.3-p2
Die Adobe Commerce-Version 2.4.3-p2 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB22-13. Die Patch-Version behebt auch die Sicherheitsanfälligkeit, die von MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch und MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch behoben wurde.
Wenden Sie AC-3022.patch an, um DHL weiterhin als Versandunternehmen anzubieten
DHL hat die Schemaversion 6.2 eingeführt und wird die Schemaversion 6.0 in naher Zukunft einstellen. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten AC-3022.patch so bald wie möglich beantragen, DHL weiterhin als Reederei anzubieten. Informationen Herunterladen und Installieren des Patches finden Sie im Knowledgebase-ArtikelApply a patch to continue offer DHL as a shipping carrier) .
Sicherheits-Highlights
-
Die Verwendung von E-Mail-Variablen wurde in Version 2.3.4 als Teil einer Sicherheitsrisikominderung zugunsten einer strengeren Variablensyntax eingestellt. Dieses veraltete Verhalten wurde in dieser Version als Fortsetzung dieser Sicherheitsrisikominderung vollständig entfernt.
E-Mail- oder Newsletter-Vorlagen, die in früheren Versionen verwendet wurden, funktionieren daher nach dem Upgrade auf Adobe Commerce 2.4.3-p2 möglicherweise nicht mehr ordnungsgemäß. Betroffene Vorlagen umfassen Admin-Überschreibungen, Designs, untergeordnete Designs und Vorlagen aus benutzerdefinierten Modulen oder Erweiterungen von Drittanbietern. Ihre -Bereitstellung ist möglicherweise auch nach Verwendung des Upgrade-Kompatibilitätstools) weiterhin betroffen um veraltete Anwendungen zu beheben. Informationen möglichen Auswirkungen und Richtlinien für die Migration betroffenerfinden Sie unter „Migrieren benutzerdefinierter E-Mail-Vorlagen“.
-
OAuth-Zugriffs-Token und Kennwortzurücksetzungs-Token werden jetzt bei der Speicherung in der Datenbank verschlüsselt.
-
Die Validierung wurde verbessert, um das Hochladen nicht alphanumerischer Dateierweiterungen zu verhindern.
-
Swagger ist jetzt standardmäßig deaktiviert, wenn sich Adobe Commerce im Produktionsmodus befindet.
-
Entwickler können jetzt die Größenbeschränkung für Arrays konfigurieren, die von Adobe Commerce RESTful-Endpunkten akzeptiert werden, und zwar pro Endpunkt. Siehe API-
-
Es wurden Mechanismen hinzugefügt, um die Größe und Anzahl der Ressourcen zu begrenzen, die ein Benutzer über eine Web-API systemweit anfordern kann, und um die Standardwerte für einzelne Module zu überschreiben. Diese Verbesserung behebt das von
MC-43048__set_rate_limits__2.4.3.patchbehandelte Problem. Siehe API-
2.4.3-p1
Die Adobe Commerce-Sicherheitsversion 2.4.3-p1 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in der vorherigen Version (Adobe Commerce 2.4.3 und Magento Open Source 2.4.3) identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB21-86. Die Patch-Version enthält auch Fehlerbehebungen für die vom Hersteller Braintree, Klarna und Vertex entwickelten Erweiterungen.
Wenden Sie AC-3022.patch an, um DHL weiterhin als Versandunternehmen anzubieten
DHL hat die Schemaversion 6.2 eingeführt und wird die Schemaversion 6.0 in naher Zukunft einstellen. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten AC-3022.patch so bald wie möglich beantragen, DHL weiterhin als Reederei anzubieten. Informationen Herunterladen und Installieren des Patches finden Sie im Knowledgebase-ArtikelApply a patch to continue offer DHL as a shipping carrier) .
Hotfixes
Diese Version enthält den folgenden Hotfix und alle Hotfixes, die für die vorherige Patch-Version veröffentlicht wurden.
- Patch-
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Informationen zu Patch und Problem finden Sie im Knowledgebase-Artikel Adobe Commerce-Upgrade 2.4.3, 2.3.7-p1 PHP Fatal Error Hotfix .
Sicherheits-Highlights
Sitzungs-IDs wurden aus der Datenbank. Diese Code-Änderung kann zu grundlegenden Änderungen führen, wenn Händler Anpassungen oder installierte Erweiterungen haben, die die in der Datenbank gespeicherten rohen Sitzungs-IDs verwenden.
Eingeschränkter Administratorzugriff auf Mediensammlungs-Ordner. Die standardmäßigen Mediensammlungs-Berechtigungen erlauben jetzt nur noch Verzeichnisvorgänge (Anzeigen, Hochladen, Löschen und Erstellen), die von der Konfiguration explizit zugelassen sind. Admin-Benutzer können nicht mehr über die Mediensammlung auf Medien-Assets zugreifen, die außerhalb der catalog/category- oder wysiwyg hochgeladen wurden. Administratoren, die auf Medien-Assets zugreifen möchten, müssen sie in einen explizit zulässigen Ordner verschieben oder ihre Konfigurationseinstellungen anpassen. Siehe Ändern von Medienbibliotheks-
Geringere Beschränkungen für die Komplexität von GraphQL-Abfragen. Die maximal zulässige Komplexität von Abfragen in GraphQL wurde verringert, um DoS-Angriffe (Denial-of-Service) zu verhindern. Siehe GraphQL-Sicherheitskonfiguration.
Aktuelle Schwachstellen beim Penetrationstest wurden in dieser Version behoben.
Die nicht unterstützte unsafe-inline für Quellausdrücke wurde aus der Inhaltssicherheitsrichtliniensatz-frame-ancestors entfernt. GitHub-33101