Versionshinweise für Adobe Commerce 2.4.6-Sicherheits-Patches

Diese Versionshinweise zum Sicherheits-Patch erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

  • Fehlerkorrekturen für Sicherheit
  • Sicherheitshinweise, die detailliertere Informationen zu den im Sicherheits-Patch enthaltenen Verbesserungen und Updates enthalten
  • Bekannte Probleme
  • Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
  • Informationen zu den in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

Adobe Commerce 2.4.6-p6

Die Adobe Commerce-Sicherheitsversion 2.4.6-p6 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.6 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB24-40.

Zusätzliche Sicherheitsverbesserungen

Bisher sind keine bestätigten Angriffe im Zusammenhang mit diesen Problemen aufgetreten. Bestimmte Schwachstellen können jedoch potenziell ausgenutzt werden, um auf Kundeninformationen zuzugreifen oder Administratorsitzungen zu übernehmen. Die meisten dieser Probleme erfordern, dass ein Angreifer zunächst Zugriff auf den Admin erhält. Daher möchten wir Sie daran erinnern, alle erforderlichen Schritte zum Schutz Ihres Administrators zu unternehmen, einschließlich, aber nicht beschränkt auf diese Bemühungen:

  • IP-auf die Zulassungsliste setz
  • Zweifaktorauthentifizierung
  • Verwendung eines VPN
  • Verwendung eines eindeutigen Standorts anstelle von /admin
  • Gute Passworthygiene

Verbesserungen der Sicherheit in dieser Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit.

  • Änderungen am Verhalten nicht generierter Cache-Schlüssel:

    • Nicht generierte Cache-Schlüssel für Bausteine enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Syntax der Vorlagenanweisung oder die setCacheKey oder setData Methoden.)
    • Nicht generierte Cache-Schlüssel für Blöcke dürfen jetzt nur Buchstaben, Ziffern, Bindestriche (-) und Unterstriche (_) enthalten.
  • Einschränkungen bei der Anzahl der automatisch generierten Gutscheincodes. Commerce beschränkt jetzt die Anzahl der automatisch generierten Couponcodes. Der Standardwert ist maximal 250.000. Händler können die neue Code Quantity Limit Konfigurationsoption (Stores > Settings:Configuration > Customers > Promotions), um zu verhindern, dass das System mit vielen Coupons überlastet wird.

  • Optimierung des standardmäßigen Prozesses zur URL-Erstellung für Administratoren. Die Generierung der Standard-Admin-URL ist für eine erhöhte Zufälligkeit optimiert, wodurch generierte URLs weniger vorhersagbar werden.

  • Unterstützung für Subresource Integrity (SRI) hinzugefügt zur Erfüllung der PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten. Die Unterstützung von Subresource Integrity (SRI) bietet Integrations-Hashes für alle JavaScript-Assets, die sich im lokalen Dateisystem befinden. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Admin- und Storefront-Bereiche implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource Integrity im Commerce PHP-Entwicklerhandbuch.

  • Änderungen an der Content Security Policy (CSP)—Aktualisierungen und Verbesserungen der Konfiguration von Adobe Commerce Content Security Policies (CSPs) zur Erfüllung von PCI 4.0-Anforderungen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP-Entwicklerhandbuch.

    • Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce Admin- und Storefront-Bereiche ist jetzt restrict -Modus. Für alle anderen Seiten lautet die Standardkonfiguration report-only -Modus. In Versionen vor 2.4.7 wurde CSP in report-only -Modus für alle Seiten.

    • Es wurde ein Nonce-Anbieter hinzugefügt, um die Ausführung von Inline-Skripten in einer CSP zu ermöglichen. Der Nonce-Provider erleichtert die Generierung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an die CSP-Kopfzeile angehängt.

    • Es wurden Optionen hinzugefügt, mit denen benutzerdefinierte URIs konfiguriert werden können, um CSP-Verstöße für die Seite "Auftrag erstellen"in der Admin- und die Seite "Auschecken"im Storefront zu melden. Sie können die Konfiguration vom Administrator hinzufügen oder den URI zum config.xml -Datei.

      note note
      NOTE
      Aktualisieren der CSP-Konfiguration auf restrict -Modus kann vorhandene Inline-Skripte auf Zahlungsseiten in der Admin- und Storefront blockieren, was beim Laden einer Seite den folgenden Browserfehler verursacht: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Beheben Sie diese Fehler, indem Sie die Konfiguration der Whitelist so aktualisieren, dass erforderliche Skripte zugelassen werden. Siehe Fehlerbehebung im Commerce PHP-Entwicklerhandbuch.
  • Eine neue Einstellung für die vollständige Cache-Konfiguration kann dazu beitragen, die mit dem HTTP verbundenen Risiken zu verringern {BASE-URL}/page_cache/block/esi -Endpunkt. Dieser Endpunkt unterstützt nicht eingeschränkte, dynamisch geladene Inhaltsfragmente aus Commerce-Layout-Handles und -Blockstrukturen. Die neue Handles params size -Konfigurationseinstellung legt den Wert des handles -Parameter, der die maximal zulässige Anzahl von Handles pro API bestimmt. Der Standardwert dieser Eigenschaft ist 100. Händler können diesen Wert über Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles params size). Siehe Konfigurieren der Commerce-Anwendung für die Verwendung von Varnish.

  • Nativer Ratenbegrenzung für Zahlungsinformationen, die über REST- und GraphQL-APIs übermittelt werden. Händler können jetzt Ratenbegrenzung konfigurieren für die Zahlungsinformationen, die über REST und GraphQL übermittelt werden. Diese zusätzliche Schutzschicht unterstützt die Vermeidung von Kartenangriffen und verringert möglicherweise das Volumen von Kartenangriffen, bei denen viele Kreditkartennummern gleichzeitig getestet werden. Dies ist eine Änderung des Standardverhaltens eines vorhandenen REST-Endpunkts. Siehe Begrenzung.

  • Das Standardverhalten der isEmailAvailable GraphQL-Abfrage und die (V1/Customers/isEmailAvailable) Der REST-Endpunkt wurde geändert. Standardmäßig geben die APIs jetzt immer true. Merchants können das ursprüngliche Verhalten aktivieren, indem Sie die Gastauscheckabmeldung aktivieren -Option in Admin zu yeskönnen jedoch nicht authentifizierte Benutzer mit Kundeninformationen versorgen.

Adobe Commerce 2.4.6-p5

Die Adobe Commerce-Sicherheitsversion 2.4.6-p5 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.6 identifiziert wurden.

Die neuesten Informationen zu diesen Fehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB24-18.

Adobe Commerce 2.4.6-p4

Die Sicherheitsversion Adobe Commerce 2.4.6-p4 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe Security Bulletin APSB24-03.

Sicherheitshinweise

Mit dieser Version werden zwei wesentliche Sicherheitsverbesserungen eingeführt:

  • Änderungen am Verhalten nicht generierter Cache-Schlüssel:

    • Nicht generierte Cache-Schlüssel für Bausteine enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Syntax der Vorlagenanweisung oder die setCacheKey oder setData Methoden.)
    • Nicht generierte Cache-Schlüssel für Blöcke dürfen jetzt nur Buchstaben, Ziffern, Bindestriche (-) und Unterstriche (_) enthalten.
  • Einschränkungen bei der Anzahl der automatisch generierten Gutscheincodes. Commerce beschränkt jetzt die Anzahl der automatisch generierten Couponcodes. Der Standardwert ist maximal 250.000. Händler können die neue Code Quantity Limit Konfigurationsoption (Stores > Settings:Configuration > Customers > Promotions), um diese neue Grenze zu steuern.

Adobe Commerce 2.4.6-p3

Die Sicherheitsversion Adobe Commerce 2.4.6-p3 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitskorrekturen finden Sie unter Adobe-Sicherheitsbulletin APSB23-50.

Sicherheitshinweise

Mit dieser Version wird eine neue Einstellung für die vollständige Seiten-Cache-Konfiguration eingeführt, die dazu beiträgt, die mit dem {BASE-URL}/page_cache/block/esi HTTP -Endpunkt. Dieser Endpunkt unterstützt nicht eingeschränkte, dynamisch geladene Inhaltsfragmente aus Commerce-Layout-Handles und -Blockstrukturen. Die neue Handles Param -Konfigurationseinstellung legt den Wert des handles -Parameter, der die maximal zulässige Anzahl von Handles pro API bestimmt. Der Standardwert dieser Eigenschaft ist 100. Händler können diesen Wert über Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

In dieser Version enthaltene Hotfixes

Adobe Commerce 2.4.6-p3 beinhaltet die Auflösung des durch Patch ACSD-51892 festgelegten Leistungsabfalls. Händler sind nicht von dem durch diesen Patch angesprochenen Problem betroffen, das im Abschnitt ACSD-51892: Leistungsproblem, bei dem Konfigurationsdateien mehrmals geladen werden Knowledge Base-Artikel.

Bekanntes Problem

Problem: Adobe Commerce zeigt eine wrong checksum Fehler beim Herunterladen durch Composer von repo.magento.com, und der Paketdownload wird unterbrochen. Dieses Problem kann beim Herunterladen von Release-Paketen auftreten, die während der Vorabversion bereitgestellt werden, und wird durch eine Neuverpackung der magento/module-page-cache Paket.

Workaround: Händler, die diesen Fehler beim Herunterladen sehen, können die folgenden Schritte ausführen:

  1. Löschen Sie die /vendor -Verzeichnis innerhalb des Projekts, sofern vorhanden.
  2. Führen Sie die bin/magento composer update magento/module-page-cache Befehl. Dieser Befehl aktualisiert nur die page cache Paket.

Wenn das Prüfsummenproblem fortbesteht, entfernen Sie die composer.lock Datei vor der erneuten Ausführung der bin/magento composer update -Befehl, um jedes Paket zu aktualisieren.

2.4.6-p2

Die Sicherheitsversion Adobe Commerce 2.4.6-p2 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version bietet außerdem Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB23-42.

Wenden Sie einen Patch an, um die Sicherheitslücke CVE-2022-31160 in der jQuery-UI-Bibliothek zu beheben.

jQuery-UI -Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Merchants, die betroffene Bereitstellungen ausführen, sollten den im Abschnitt Sicherheitslücke der jQuery-Benutzeroberfläche CVE-2022-31160-Fehlerbehebung für Versionen 2.4.4, 2.4.5 und 2.4.6 Knowledge Base-Artikel.

Sicherheitshinweis

Der Wert von fastcgi_pass im nginx.sample wurde zum vorherigen Wert (vor 2.4.6-p1) von fastcgi_backend. Dieser Wert wurde versehentlich in php-fpm:9000 in Adobe Commerce 2.4.6-p1.

In dieser Version enthaltene Hotfixes

Adobe Commerce 2.4.6-p2 beinhaltet die Auflösung des Leistungsabfalls, der durch Patch ACSD-51892 behoben wurde. Händler sind nicht von dem durch diesen Patch angesprochenen Problem betroffen, das im Abschnitt ACSD-51892: Leistungsproblem, bei dem Konfigurationsdateien mehrmals geladen werden Knowledge Base-Artikel.

Adobe Commerce 2.4.6-p1

Die Adobe Commerce-Sicherheitsversion 2.4.6-p1 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version umfasst auch Sicherheitsverbesserungen und Plattformaktualisierungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie unter Adobe-Sicherheitsbulletin APSB23-35.

Wenden Sie einen Patch an, um die Sicherheitslücke CVE-2022-31160 in der jQuery-UI-Bibliothek zu beheben.

jQuery-UI -Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Merchants, die betroffene Bereitstellungen ausführen, sollten den im Abschnitt Sicherheitslücke in der Query UI CVE-2022-31160-Fehlerbehebung für Versionen 2.4.4, 2.4.5 und 2.4.6 Knowledge Base-Artikel.

Sicherheitshinweis

Das Standardverhalten der isEmailAvailable GraphQL-Abfrage und (V1/customers/isEmailAvailable) Der REST-Endpunkt wurde geändert. Standardmäßig gibt die API jetzt immer true. Händler können das ursprüngliche Verhalten aktivieren, d. h. die Rückgabe true wenn die E-Mail nicht in der Datenbank vorhanden ist und false , wenn sie vorhanden ist.

Plattformaktualisierungen

Plattformaktualisierungen für diese Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit.

  • Unterstützung von Varnish Cache 7.3. Diese Version ist mit der neuesten Version von Varnish Cache 7.3 kompatibel. Die Kompatibilität bleibt mit den Versionen 6.0.x und 7.2.x bestehen. Adobe wird jedoch empfohlen, Adobe Commerce 2.4.6-p1 nur mit Version 7.3 (Varnish Cache) oder Version 6.0 LTS zu verwenden.

  • RabbitMQ 3.11-Unterstützung. Diese Version ist mit der neuesten Version von RabbitMQ 3.11 kompatibel. Die Kompatibilität mit RabbitMQ 3.9 bleibt erhalten, was bis August 2023 unterstützt wird. Adobe wird jedoch empfohlen, Adobe Commerce 2.4.6-p1 nur mit RabbitMQ 3.11 zu verwenden.

  • JavaScript-Bibliotheken. Veraltete JavaScript-Bibliotheken wurden auf die neuesten kleineren oder Patch-Versionen aktualisiert, einschließlich moment.js Bibliothek (v2.29.4), jQuery UI Bibliothek (v1.13.2) und jQuery Validierungs-Plug-in-Bibliothek (v1.19.5).

Bekannte Probleme

  • Die nginx.sample wurde versehentlich mit einer Änderung aktualisiert, die den Wert von fastcgi_pass von fastcgi_backend nach php-fpm:9000. Diese Änderung kann sicher rückgängig gemacht oder ignoriert werden.

  • Fehlende Abhängigkeiten für das B2B-Sicherheitspaket verursachen den folgenden Installationsfehler bei der Installation oder Aktualisierung der B2B-Erweiterung auf 1.4.0.

    code language-terminal
    Your requirements could not be resolved to an installable set of packages.
    
      Problem 1
        - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
        - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.
    
    Installation failed, reverting ./composer.json and ./composer.lock to their original content.
    

    Dieses Problem kann behoben werden, indem manuelle Abhängigkeiten für das B2B-Sicherheitspaket mit einer Stabilitäts-Tag. Weitere Informationen finden Sie unter B2B-Versionshinweise.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f