Versionshinweise für Adobe Commerce 2.4.3-Sicherheits-Patches
Diese Versionshinweise zum Sicherheits-Patch erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerkorrekturen für Sicherheit
- Sicherheitshinweise, die detailliertere Informationen zu den im Sicherheits-Patch enthaltenen Verbesserungen und Updates enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu den in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Übersicht über Adobe Commerce Security Patch Releases
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie im Upgrade-Handbuch
Adobe Commerce 2.4.3-p3
Die Sicherheitsversion Adobe Commerce 2.4.3-p3 enthält Sicherheitskorrekturen für Sicherheitslücken, die in früheren Versionen 2.4.3 identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB22-38.
Wenden Sie AC-3022.patch
an, um DHL weiterhin als Versandunternehmen anzubieten.
DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten so schnell wie möglich AC-3022.patch
anwenden, um DHL weiterhin als Versandunternehmen anzubieten. Informationen zum Herunterladen und Installieren des Patches finden Sie im Artikel Anwenden eines Patches, um DHL weiterhin als Versandunternehmen anzubieten Knowledge Base .
Sicherheitshinweise
- ACL-Ressourcen wurden zum Inventar hinzugefügt.
- Die Sicherheit der Lagerbestandsvorlage wurde verbessert.
Adobe Commerce 2.4.3-p2
Die Sicherheitsversion Adobe Commerce 2.4.3-p2 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB22-13. Die Patch-Version behebt auch die Sicherheitslücke, die von MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip
, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip
, MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch
und MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch
behoben wurde.
Wenden Sie AC-3022.patch
an, um DHL weiterhin als Versandunternehmen anzubieten.
DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten so schnell wie möglich AC-3022.patch
anwenden, um DHL weiterhin als Versandunternehmen anzubieten. Informationen zum Herunterladen und Installieren des Patches finden Sie im Artikel Anwenden eines Patches, um DHL weiterhin als Versandunternehmen anzubieten Knowledge Base .
Sicherheitshinweise
-
Die Verwendung von E-Mail-Variablen wurde bereits in Version 2.3.4 als Teil einer Sicherheitsrisikobegrenzung zugunsten einer strikteren Variablensyntax eingestellt. Dieses veraltete Verhalten wurde in dieser Version als Fortsetzung dieser Sicherheitsrisikobegrenzung vollständig entfernt.
Daher funktionieren E-Mail- oder Newsletter-Vorlagen, die in früheren Versionen funktioniert haben, möglicherweise nicht ordnungsgemäß, nachdem sie auf Adobe Commerce 2.4.3-p2 aktualisiert wurden. Betroffene Vorlagen sind Admin-Überschreibungen, Designs, untergeordnete Designs und Vorlagen aus benutzerdefinierten Modulen oder Erweiterungen von Drittanbietern. Ihre Bereitstellung kann auch nach Verwendung des Kompatibilitätstools für Aktualisierungen zur Behebung veralteter Verwendungszwecke weiter beeinträchtigt sein. Informationen zu möglichen Auswirkungen und Richtlinien für die Migration der betroffenen Vorlagen finden Sie unter Migrieren benutzerdefinierter E-Mail-Vorlagen .
-
OAuth-Zugriffstoken und Token zum Zurücksetzen des Kennworts werden jetzt verschlüsselt, wenn sie in der Datenbank gespeichert werden.
-
Die Validierung wurde verbessert, um das Hochladen von nicht alphanumerischen Dateierweiterungen zu verhindern.
-
Swagger ist jetzt standardmäßig deaktiviert, wenn sich Adobe Commerce im Produktionsmodus befindet.
-
Entwickler können jetzt die Größenbeschränkung für Arrays konfigurieren, die von Adobe Commerce RESTful-Endpunkten pro Endpunkt akzeptiert werden. Siehe API-Sicherheit.
-
Es wurden Mechanismen hinzugefügt, mit denen die Größe und Anzahl der Ressourcen, die ein Benutzer über eine Web-API systemweit anfordern kann, begrenzt und die Standardwerte für einzelne Module überschrieben werden können. Durch diese Verbesserung wird das Problem behoben, das durch
MC-43048__set_rate_limits__2.4.3.patch
behoben wurde. Siehe API-Sicherheit.
2.4.3-p1
Die Adobe Commerce-Sicherheitsversion 2.4.3-p1 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in der vorherigen Version (Adobe Commerce 2.4.3 und Magento Open Source 2.4.3) identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB21-86. Die Patch-Version enthält außerdem Fehlerbehebungen für die vom Hersteller entwickelten Erweiterungen Braintree, Klarna und Vertex.
Wenden Sie AC-3022.patch
an, um DHL weiterhin als Versandunternehmen anzubieten.
DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten so schnell wie möglich AC-3022.patch
anwenden, um DHL weiterhin als Versandunternehmen anzubieten. Informationen zum Herunterladen und Installieren des Patches finden Sie im Artikel Anwenden eines Patches, um DHL weiterhin als Versandunternehmen anzubieten Knowledge Base .
Hotfixes
Diese Version enthält den folgenden Hotfix und alle Hotfixes, die für die vorherige Patch-Version freigegeben wurden.
- Patch
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade
. Informationen zu Patch und Problem finden Sie im Artikel Adobe Commerce-Upgrade 2.4.3, 2.3.7-p1 PHP-Fatal error Hotfix Knowledge Base .
Sicherheitshinweise
Sitzungs-IDs wurden aus der Datenbank entfernt. Diese Codeänderung kann zu Änderungen führen, wenn Händler Anpassungen vornehmen oder Erweiterungen installiert haben, die die in der Datenbank gespeicherten Sitzungs-IDs verwenden.
Eingeschränkter Administratorzugriff auf Ordner der Media Gallery. Standardberechtigungen für Media Gallery erlauben jetzt nur Ordneroperationen (Anzeigen, Hochladen, Löschen und Erstellen), die explizit von der Konfiguration erlaubt sind. Admin-Benutzer können nicht mehr über die Media Gallery auf Medien-Assets zugreifen, die außerhalb der Verzeichnisse catalog/category
oder wysiwyg
hochgeladen wurden. Administratoren, die auf Medien-Assets zugreifen möchten, müssen sie in einen explizit zulässigen Ordner verschieben oder ihre Konfigurationseinstellungen anpassen. Siehe Ändern der Media Library-Ordnerberechtigungen.
Verringerte Beschränkungen der GraphQL-Abfragekomplexität. Die maximal zulässige GraphQL-Abfragekomplexität wurde verringert, um Denial-of-Service-Angriffe (DOS) zu verhindern. Siehe GraphQL-Sicherheitskonfiguration.
Schwachstellen beim aktuellen Penetrationstest wurden in dieser Version behoben.
Der nicht unterstützte Quellausdruck unsafe-inline
wurde aus der Richtlinie "Content Security Policy frame-ancestors
"entfernt. GitHub-33101