Versionshinweise für Adobe Commerce 2.4.5-Sicherheits-Patches

Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

  • Fehlerbehebungen bei der Sicherheit
  • Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
  • Bekannte Probleme
  • Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
  • Informationen zu allen in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

2.4.5-P11

Die Adobe Commerce-Sicherheitsversion 2.4.5-p11 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-08.

NOTE
Nach der Installation dieses Sicherheits-Patches müssen Adobe Commerce B2B-Händler auch auf die neueste kompatible Version des B2B-Sicherheits-Patches aktualisieren. Siehe B2B-.

Highlights

Diese Version enthält die folgende Hervorhebung:

  • Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.

    Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.

  • Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.

    Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie „KnowledgeBase-Artikel“

2.4.5-P10

Die Adobe Commerce-Sicherheitsversion 2.4.5-p10 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-73.

NOTE
Nach der Installation dieses Sicherheits-Patches müssen Adobe Commerce B2B-Händler auch auf die neueste kompatible Version des B2B-Sicherheits-Patches aktualisieren. Siehe B2B-.

Highlights

Diese Version umfasst die folgenden Highlights:

  • TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3​).

    • TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt​

    • Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-P10
      • 2.4.4-P11
  • Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).

    • Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-P10
      • 2.4.4-P11
NOTE
Diese Aktualisierungen sind abwärtskompatibel und sollten sich nicht auf Anpassungen und Erweiterungen auswirken​

In dieser Version enthaltene Hotfixes

Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.

Das System enthält jetzt die erforderlichen Felder, um die Anforderungen des 3DS-VISA-Mandats zu erfüllen, wenn Braintree als Zahlungs-Gateway verwendet wird. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den übermittelten Zahlungsinformationen enthalten, was zur Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.

2.4.5-p9

Die Adobe Commerce-Sicherheitsversion 2.4.5-p9 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-61.

Highlights

Diese Version umfasst die folgenden Highlights:

  • Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:

    • Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
    • Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)

    Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden unter> 2FA Konfigurationshandbuch.

  • Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".

  • Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.

  • Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“

In dieser Version enthaltene Hotfixes

Diese Version enthält die folgenden Hotfixes:

2.4.5-p8

Die Adobe Commerce-Sicherheitsversion 2.4.5-p8 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.

Hotfix für CVE-2024-34102 anwenden

IMPORTANT
Dies ist eine dringende Aktualisierung unserer letzten Mitteilung zu CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgebeutet wurde. Ergreifen Sie sofort Maßnahmen, um die Sicherheitslücke zu schließen, falls Sie dies noch nicht getan haben.

Für Kunden, die den Sicherheits-Patch vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben:

Option 1:

  1. Wenden Sie eines der Sicherheits-Patches an, die am 11. Juni 2024 veröffentlicht wurden:

  2. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

  3. Drehen Verschlüsselungsschlüssel.

Option 2:

  1. Aufkleben isolierten Pflasters.

  2. Drehen Verschlüsselungsschlüssel.

Für Kunden, die bereits einen Sicherheits-Patch vom 11. Juni 2024 oder einen isolierten Patch vom 28. Juni 2024 angewendet haben:

  1. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

  2. Drehen Verschlüsselungsschlüssel.

Für Kunden, die bereits 1) einen Sicherheits-Patch vom 11. Juni 2024 oder 2) einen isolierten Patch vom 28. Juni 2024 angewendet haben, und 3) rotierten ihre Verschlüsselungsschlüssel:

  1. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

Plattform-Upgrades

  • MariaDB 10.5-Unterstützung. Diese Patch-Version führt die Kompatibilität mit MariaDB Version 10.5 ein. Adobe Commerce ist weiterhin mit MariaDB Version 10.4 kompatibel. Adobe empfiehlt jedoch die Verwendung von Adobe Commerce 2.4.5-p8 und allen kommenden Nur-Sicherheits-Patch-Versionen 2.4.5 nur mit MariaDB Version 10.5, da die Wartung von MariaDB 10.4 am 18. Juni 2024 endet.

Highlights

  • Unterstützung für Subresource Integrity (SRI) wurde hinzugefügt um die PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten zu erfüllen. Die Unterstützung von Subresource Integrity (SRI) bietet Integritäts-Hashes für alle JavaScript-Assets im lokalen Dateisystem. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Bereiche Admin und Storefront implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource-Integrität im Commerce PHP-Entwicklerhandbuch.

  • Änderungen an der Content Security Policy (CSP) - Konfigurationsaktualisierungen und -verbesserungen an den Adobe Commerce Content Security Policies (CSPs) zur Erfüllung der PCI 4.0-Anforderungen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP-

    • Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce Admin- und Storefront-Bereiche ist jetzt restrict. Für alle anderen Seiten ist die Standardkonfiguration report-only. In Versionen vor 2.4.7 wurde CSP für alle Seiten im report-only konfiguriert.

    • Es wurde ein Nonce-Provider hinzugefügt, der die Ausführung von Inline-Skripten in einer CSP ermöglicht. Der Nonce-Anbieter erleichtert die Erstellung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an den CSP-Header angehängt.

    • Es wurden Optionen zum Konfigurieren von benutzerdefinierten URIs hinzugefügt, um CSP-Verletzungen für die Seite „Auftrag erstellen“ in der Admin- und die Checkout-Seite im Storefront zu melden. Sie können die Konfiguration über den Administrator oder durch Hinzufügen des URI zur config.xml-Datei hinzufügen.

      note note
      NOTE
      Wenn Sie die CSP-Konfiguration auf den restrict-Modus aktualisieren, werden möglicherweise vorhandene Inline-Skripte auf Zahlungsseiten in der Admin- und Storefront blockiert, was beim Laden einer Seite den folgenden Browser-Fehler verursacht: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Beheben Sie diese Fehler, indem Sie die Konfiguration der Zulassungsliste aktualisieren, um die erforderlichen Skripte zuzulassen. Siehe Fehlerbehebung im Commerce PHP-.

2.4.5-p7

Die Adobe Commerce-Sicherheitsversion 2.4.5-p7 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-18.

2.4.5-p6

Die Adobe Commerce-Sicherheitsversion 2.4.5-p6 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-03.

Highlights

Diese Version führt zwei wichtige Sicherheitsverbesserungen ein:

  • Änderungen am Verhalten nicht generierter Cache-Schlüssel:

    • Nicht generierte Cache-Schlüssel für -Blöcke enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Vorlagenanweisungssyntax oder die setCacheKey- oder setData festgelegt werden.)
    • Nicht generierte Cache-Schlüssel für -Blöcke dürfen jetzt nur noch Buchstaben, Ziffern, Bindestriche (-) und Unterstriche (_) enthalten.
  • Beschränkungen für die Anzahl der automatisch generierten Couponcodes. Commerce begrenzt jetzt die Anzahl der Gutscheincodes, die automatisch generiert werden. Der standardmäßige Maximalwert ist 250.000. Händler können die neue Code Quantity Limit-Konfigurationsoption (Stores > Settings:Configuration > Customers > Promotions) verwenden, um dieses neue Limit zu steuern.

2.4.5-p5

Die Adobe Commerce-Sicherheitsversion 2.4.5-p5 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-50.

Highlights

Diese Version führt eine neue Konfigurationseinstellung für den vollständigen Seiten-Cache ein, die dazu beiträgt, die mit dem {BASE-URL}/page_cache/block/esi HTTP-Endpunkt verbundenen Risiken zu minimieren. Dieser Endpunkt unterstützt uneingeschränkte, dynamisch geladene Inhaltsfragmente aus Commerce-Layout-Handles und -Blockstrukturen. Die neue Handles Param-Konfigurationseinstellung legt den Wert des handles-Parameters dieses Endpunkts fest, der die maximal zulässige Anzahl von Handles pro API bestimmt. Der Standardwert dieser Eigenschaft ist 100. Händler können diesen Wert unter Admin ändern (Stores > Settings:Configuration > System > Full Page Cache > Handles Param).

Bekannte Probleme

Problem: Adobe Commerce zeigt beim Herunterladen durch Composer aus repo.magento.com den Fehler falsche) an und der Paket-Download wird unterbrochen. Dieses Problem kann beim Herunterladen von Veröffentlichungspaketen auftreten, die während der Vorabversion verfügbar gemacht wurden, und wird durch eine Neuverpackung des magento/module-page-cache-Pakets verursacht.

Problemumgehung: Händler, die diesen Fehler beim Herunterladen sehen, können die folgenden Schritte ausführen:

  1. Löschen Sie das /vendor Verzeichnis innerhalb des Projekts, falls vorhanden.
  2. Führen Sie den bin/magento composer update magento/module-page-cache Befehl aus. Dieser Befehl aktualisiert nur das page cache.

Wenn das Prüfsummenproblem weiterhin besteht, entfernen Sie die composer.lock-Datei, bevor Sie den bin/magento composer update-Befehl erneut ausführen, um jedes Paket zu aktualisieren.

2.4.5-p4

Die Adobe Commerce-Sicherheitsversion 2.4.5-p4 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-42.

Hotfix für CVE-2022-31160 anwenden

jQuery-UI Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Händler, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Artikel jQuery UI Security Vulnerability CVE-2022-31160 Fix for 2.4.4, 2.4.5 und 2.4.6.

2.4.5-p3

Die Adobe Commerce-Version 2.4.5-p3 bietet Sicherheitskorrekturen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin.

Hotfix für CVE-2022-31160 anwenden

jQuery-UI Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Händler, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Artikel Sicherheitslücke der Abfrage-Benutzeroberfläche CVE-2022-31160 Fehlerbehebung für die Versionen 2.4.4, 2.4.5 und 2.4.6 der Wissensdatenbank angegeben ist.

Highlights

Das Standardverhalten der isEmailAvailable GraphQL-Abfrage und des (V1/customers/isEmailAvailable) REST-Endpunkts hat sich geändert. Standardmäßig gibt die API jetzt immer true zurück. Händler können das ursprüngliche Verhalten aktivieren, d. h. true zurückgeben, wenn die E-Mail nicht in der Datenbank vorhanden ist, und false, ob sie vorhanden ist.

Plattform-Upgrades

Plattform-Upgrades für diese Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit.

  • Unterstützung des Lackcache 7.3. Diese Version ist kompatibel mit der neuesten Version von Varnish Cache 7.3. Die Kompatibilität mit den Versionen 6.0.x und 7.2.x bleibt bestehen, wir haben jedoch empfohlen, Adobe Commerce 2.4.5-p3 nur mit Varnish Cache Version 7.3 oder Version 6.0 LTS zu verwenden.

  • Unterstützung von RabbitMQ 3.11. Diese Version ist mit der neuesten Version von RabbitMQ 3.11 kompatibel. Die Kompatibilität mit RabbitMQ 3.9 bleibt bestehen, was bis August 2023 unterstützt wird, aber wir haben empfohlen, Adobe Commerce 2.4.5-p3 nur mit RabbitMQ 3.11 zu verwenden.

  • JavaScript-. Veraltete JavaScript-Bibliotheken wurden auf die neuesten Neben- oder Patch-Versionen aktualisiert, einschließlich moment.js-Bibliothek (v2.29.4), jQuery UI-Bibliothek (v1.13.2) und jQuery Validierungs-Plug-in-Bibliothek (v1.19.5).

2.4.5-p2

Die Adobe Commerce-Version 2.4.5-p2 bietet drei Sicherheitskorrekturen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-17.

2.4.5-p1

Die Adobe Commerce-Sicherheitsversion 2.4.5-p1 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.5 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB22-48.

Eine der Sicherheitsfehlerbehebungen umfasste die Erstellung einer neuen Konfigurationseinstellung. Mit der E-Mail-Bestätigung verlangen, wenn die E-Mail geändert wurde können Administratoren eine E-Mail-Bestätigung verlangen, wenn ein Administrator bzw. eine Administratorin ihre E-Mail-Adresse ändert.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f