Versionshinweise für Adobe Commerce 2.4.4-Sicherheits-Patches
Diese Versionshinweise zum Sicherheits-Patch erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerkorrekturen für Sicherheit
- Sicherheitshinweise, die detailliertere Informationen zu den im Sicherheits-Patch enthaltenen Verbesserungen und Updates enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu den in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Übersicht über Adobe Commerce Security Patch Releases
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie im Upgrade-Handbuch
2.4.4-p10
Die Adobe Commerce-Sicherheitsversion 2.4.4-p10 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.4 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-61.
Highlights
Diese Version umfasst die folgenden Highlights:
-
Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung bei der Validierung von two-factor authentication (2FA) one-time password (OTP) zu aktivieren:
- Versuchslimit für Zweifaktorauthentifizierung wiederholen
- Sperrzeit für die Authentifizierung mit zwei Faktoren (Sekunden)
Adobe rät, einen Schwellenwert für die 2FA OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zur Abmilderung von Brute-Force-Angriffen zu begrenzen. Weitere Informationen finden Sie unter Sicherheit > 2FA im Konfigurationshandbuch.
-
Verschlüsselungsschlüsselrotation: Ein neuer CLI-Befehl ist jetzt zum Ändern des Verschlüsselungsschlüssels verfügbar. Weitere Informationen finden Sie im Knowledge Base-Artikel Fehlerbehebung beim Rotieren des Verschlüsselungsschlüssels: CVE-2024-34102 .
-
Korrektur für CVE-2020-27511 - Löst eine Prototype.js Sicherheitslücke auf.
-
Fehlerbehebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Ausführung von Remote-Code auf. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbstgehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als separater Patch verfügbar. Weitere Informationen finden Sie im Artikel Sicherheitsupdate für Adobe Commerce - APSB24-61 Knowledge Base .
In dieser Version enthaltene Hotfixes
Diese Version umfasst die folgenden Hotfixes:
-
Hotfix zum Beheben eines JavaScript-Fehlers, der verhindert hat, dass Google Maps im Editor PageBuilder ordnungsgemäß dargestellt werden. Weitere Informationen finden Sie im Knowledge Base-Artikel Überarbeitete Patches für Google Maps - Zugriffsverlust für alle Adobe Commerce-Versionen .
-
Hotfix zur Lösung eines JSON-Web-Token (JWT)-Validierungsproblems im Zusammenhang mit CVE-2024-34102. Weitere Informationen finden Sie im Artikel Sicherheitsupdate für Adobe Commerce-APSB24-40 Knowledge Base .
2.4.4-p9
Die Sicherheitsversion Adobe Commerce 2.4.4-p9 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.4 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.
Hotfix für CVE-2024-34102 anwenden
Für Kunden, die keinen am 11. Juni 2024 veröffentlichten Sicherheits-Patch oder den am 28. Juni 2024 veröffentlichten isolierten Patch angewendet haben:
Option 1:
Option 2:
-
Wenden Sie den isolierten Patch an.
-
Drehen der Verschlüsselungsschlüssel.
Für Kunden, die bereits einen am 11. Juni 2024 veröffentlichten Sicherheits-Patch oder den am 28. Juni 2024 veröffentlichten isolierten Patch angewendet haben:
Für Kunden, die bereits 1) einen Sicherheits-Patch angewendet haben, der am 11. Juni 2024 veröffentlicht wurde, oder 2) den am 28. Juni 2024 veröffentlichten isolierten Patch, und 3) ihre Verschlüsselungsschlüssel rotieren:
- Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.
Plattformaktualisierungen
- Unterstützung für MariaDB 10.5. Diese Patch-Version führt die Kompatibilität mit MariaDB Version 10.5 ein. Adobe Commerce ist weiterhin mit der MariaDB-Version 10.4 kompatibel, Adobe empfiehlt jedoch die Verwendung von Adobe Commerce 2.4.4-p9 und alle kommenden Sicherheits-Patch-Versionen 2.4.4 nur mit der MariaDB-Version 10.5, da die Wartung von MariaDB 10.4 am 18. Juni 2024 endet.
Highlights
-
Subresource Integrity (SRI)-Unterstützung wurde hinzugefügt, um PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten zu erfüllen. Die Unterstützung von Subresource Integrity (SRI) bietet Integrations-Hashes für alle JavaScript-Assets, die sich im lokalen Dateisystem befinden. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Admin- und Storefront-Bereiche implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource Integrity im Commerce PHP Developer Guide.
-
Änderungen an der Content Security Policy (CSP) - Konfigurationsaktualisierungen und -verbesserungen für Adobe Commerce Content Security Policies (CSPs), um die Anforderungen von PCI 4.0 zu erfüllen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP Developer Guide.
-
Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce-Admin- und Storefront-Bereiche ist jetzt
restrict
-Modus. Für alle anderen Seiten ist die Standardkonfiguration der Modus "report-only
". In Versionen vor 2.4.7 wurde CSP für alle Seiten imreport-only
-Modus konfiguriert. -
Es wurde ein Nonce-Anbieter hinzugefügt, um die Ausführung von Inline-Skripten in einer CSP zu ermöglichen. Der Nonce-Provider erleichtert die Generierung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an die CSP-Kopfzeile angehängt.
-
Es wurden Optionen hinzugefügt, mit denen benutzerdefinierte URIs konfiguriert werden können, um CSP-Verstöße für die Seite "Auftrag erstellen"in der Admin- und die Seite "Auschecken"im Storefront zu melden. Sie können die Konfiguration vom Administrator hinzufügen oder den URI zur Datei
config.xml
hinzufügen.note note NOTE Die Aktualisierung der CSP-Konfiguration auf den Modus " restrict
"kann vorhandene Inline-Skripte auf Zahlungsseiten in Admin und Storefront blockieren, was beim Laden einer Seite den folgenden Browserfehler verursacht:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Beheben Sie diese Fehler, indem Sie die Konfiguration der Whitelist so aktualisieren, dass erforderliche Skripte zugelassen werden. Siehe Fehlerbehebung im Commerce PHP Developer Guide.
-
2.4.4-p8
Die Sicherheitsversion Adobe Commerce 2.4.4-p8 enthält Sicherheitsfehlerbehebungen für Ihre Adobe Commerce 2.4.4-Bereitstellung. Diese Updates beheben Schwachstellen, die in früheren Versionen identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-18.
2.4.4-p7
Die Adobe Commerce-Sicherheitsversion 2.4.4-p7 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-03.
Highlights
Mit dieser Version werden zwei wesentliche Sicherheitsverbesserungen eingeführt:
-
Änderungen am Verhalten nicht generierter Cache-Schlüssel:
- Nicht generierte Cache-Schlüssel für Bausteine enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Syntax der Vorlagenanweisung oder die Methoden
setCacheKey
odersetData
festgelegt werden.) - Nicht generierte Cache-Schlüssel für Blöcke dürfen jetzt nur Buchstaben, Ziffern, Bindestriche (-) und Unterstriche (_) enthalten.
- Nicht generierte Cache-Schlüssel für Bausteine enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Syntax der Vorlagenanweisung oder die Methoden
-
Beschränkungen der Anzahl der automatisch generierten Couponcodes. Commerce beschränkt jetzt die Anzahl der automatisch generierten Couponcodes. Der Standardwert ist maximal 250.000. Händler können die neue Konfigurationsoption Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) verwenden, um diese neue Begrenzung zu steuern.
2.4.4-p6
Die Sicherheitsversion Adobe Commerce 2.4.4-p6 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-50.
Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Highlights
Mit dieser Version wird eine neue Einstellung für die vollständige Seiten-Cache-Konfiguration eingeführt, die dazu beiträgt, die Risiken im Zusammenhang mit dem {BASE-URL}/page_cache/block/esi HTTP
-Endpunkt zu verringern. Dieser Endpunkt unterstützt nicht eingeschränkte, dynamisch geladene Inhaltsfragmente aus Commerce-Layout-Handles und -Blockstrukturen. Die neue Konfigurationseinstellung Handles Param legt den Wert des Parameters handles
dieses Endpunkts fest, der die maximal zulässige Anzahl von Handles pro API bestimmt. Der Standardwert dieser Eigenschaft ist 100. Händler können diesen Wert über Admin (Stores > Settings: Configuration > System > Full Page Cache > Handles Param) ändern.
Bekannte Probleme
Problem: Adobe Commerce zeigt einen falschen Prüfsummenfehler beim Herunterladen durch den Composer von repo.magento.com
an und der Paketdownload wird unterbrochen. Dieses Problem kann beim Herunterladen von Release-Paketen auftreten, die während der Vorabversion bereitgestellt wurden und durch eine Neuverpackung des magento/module-page-cache
-Pakets verursacht werden.
Problemumgehung: Händler, die diesen Fehler beim Herunterladen sehen, können die folgenden Schritte ausführen:
- Löschen Sie das Verzeichnis "
/vendor
" im Projekt, sofern vorhanden. - Führen Sie den Befehl
bin/magento composer update magento/module-page-cache
aus. Dieser Befehl aktualisiert nur daspage cache
-Paket.
Wenn das Prüfsummenproblem fortbesteht, entfernen Sie die Datei "composer.lock
", bevor Sie den Befehl "bin/magento composer update
"erneut ausführen, um jedes Paket zu aktualisieren.
2.4.4-p5
Die Sicherheitsversion Adobe Commerce 2.4.4-p5 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-42.
Hotfix für CVE-2022-31160 anwenden
jQuery-UI
-Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Merchants, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Knowledge Base-Artikel 2.4.4, 2.4.5 und 2.4.6 zur Sicherheitslücke CVE-2022-31160 in der jQuery-Benutzeroberfläche angegeben ist.🔗
2.4.4-p4
Die Sicherheitsversion Adobe Commerce 2.4.4-p4 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version umfasst auch Sicherheitsverbesserungen und Plattformaktualisierungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-35.
Hotfix für CVE-2022-31160 anwenden
jQuery-UI
-Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Merchants, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Knowledge Base-Artikel 2.4.4, 2.4.5 und 2.4.6 zur Sicherheitslücke CVE-2022-31160 in der jQuery-Benutzeroberfläche angegeben ist.🔗
Highlights
Das Standardverhalten der GraphQL-Abfragen isEmailAvailable
und des REST-Endpunkts (V1/customers/isEmailAvailable
) wurde geändert. Standardmäßig gibt die API jetzt immer true
zurück. Händler können das ursprüngliche Verhalten aktivieren, d. h. true
zurückgeben, wenn die E-Mail nicht in der Datenbank vorhanden ist, und false
, wenn sie existiert.
Plattformaktualisierungen
Plattformaktualisierungen für diese Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit.
-
Unterstützung des Unterschiedlichen Cache 7.3. Diese Version ist mit der neuesten Version von Varnish Cache 7.3 kompatibel. Die Kompatibilität bleibt mit den Versionen 6.0.x und 7u.2.x bestehen, Adobe empfiehlt jedoch die Verwendung von Adobe Commerce 2.4.4-p4 nur mit Varnish Cache Version 7.3 oder Version 6.0 LTS.
-
RabbitMQ 3.11-Unterstützung. Diese Version ist mit der neuesten Version von RabbitMQ 3.11 kompatibel. Die Kompatibilität mit RabbitMQ 3.9 bleibt erhalten, was bis August 2023 unterstützt wird. Adobe empfiehlt jedoch die Verwendung von Adobe Commerce 2.4.4-p4 nur mit RabbitMQ 3.11.
-
JavaScript-Bibliotheken. Veraltete JavaScript-Bibliotheken wurden auf die neuesten kleineren oder Patch-Versionen aktualisiert, einschließlich der
moment.js
-Bibliothek (v2.29.4), derjQuery UI
-Bibliothek (v1.13.2) und derjQuery
-Validierungs-Plug-in-Bibliothek (v1.19.5).
2.4.4-p3
Die Sicherheitsversion Adobe Commerce 2.4.4-p3 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-17.
2.4.4-p2
Die Sicherheitsversion Adobe Commerce 2.4.4-p2 enthält Fehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Eine Korrektur umfasst die Erstellung einer neuen Konfigurationseinstellung. Mit der Konfigurationseinstellung E-Mail-Bestätigung erforderlich , wenn E-Mail geändert wurde können Administratoren eine E-Mail-Bestätigung benötigen, wenn ein Administrator seine E-Mail-Adresse ändert.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB22-48.
Wenden Sie AC-3022.patch an, um DHL weiterhin als Versandunternehmen anzubieten
DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten so schnell wie möglich AC-3022.patch
anwenden, um DHL weiterhin als Versandunternehmen anzubieten. Informationen zum Herunterladen und Installieren des Patches finden Sie im Artikel Anwenden eines Patches, um DHL weiterhin als Versandunternehmen anzubieten Knowledge Base .
2.4.4-p1
Die Sicherheitsversion Adobe Commerce 2.4.4-p1 enthält Fehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin.t
Wenden Sie AC-3022.patch
an, um DHL weiterhin als Versandunternehmen anzubieten.
DHL hat die Schemaversion 6.2 eingeführt und wird in naher Zukunft die Schemaversion 6.0 veraltet sein. Adobe Commerce 2.4.4 und frühere Versionen, die die DHL-Integration unterstützen, unterstützen nur Version 6.0. Händler, die diese Versionen bereitstellen, sollten so schnell wie möglich AC-3022.patch
anwenden, um DHL weiterhin als Versandunternehmen anzubieten. Informationen zum Herunterladen und Installieren des Patches finden Sie im Artikel Anwenden eines Patches, um DHL weiterhin als Versandunternehmen anzubieten Knowledge Base .
Highlights
Sicherheitsverbesserungen für diese Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit, einschließlich:
- ACL-Ressourcen wurden zum Inventar hinzugefügt.
- Die Sicherheit der Lagerbestandsvorlage wurde verbessert.
Bekannte Probleme
Problem: Web-API- und Integrationstests zeigen diesen Fehler an, wenn sie mit dem Paket 2.4.4-p1 ausgeführt werden: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69
. Problemumgehung: Installieren Sie die vorherige Version von Monolog, indem Sie den Befehl require monolog/monolog:2.6.0
ausführen.
Problem: Bei einem Upgrade von Adobe Commerce 2.4.4 auf Adobe Commerce 2.4.4-p1 werden möglicherweise Hinweise zum Upgrade der Paketversion angezeigt. Diese Nachrichten können ignoriert werden. Die Diskrepanz in Paketversionen resultiert aus Anomalien bei der Package-Erstellung. Die Produktfunktionalität wurde nicht beeinflusst. Im Knowledge Base-Artikel Pakete, die nach dem Upgrade von 2.4.4 auf 2.4.4-p1 herabgestuft wurden, finden Sie eine Diskussion der betroffenen Szenarien und Problemumgehungen.