Versionshinweise für Adobe Commerce 2.4.6-Sicherheits-Patches
Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerbehebungen bei der Sicherheit
- Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu allen in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Überblick über Adobe Commerce Security-Patch-Versionen
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie im Upgrade-Handbuch
2.4.6-p9
Die Adobe Commerce-Version 2.4.6-p9 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.6 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-08.
Highlights
Diese Version enthält die folgende Hervorhebung:
-
Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.
Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.
-
Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.
Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie „KnowledgeBase-Artikel“
2.4.6-p8
Die Adobe Commerce-Sicherheitsversion 2.4.6-p8 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.6 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-73.
Highlights
Diese Version umfasst die folgenden Highlights:
-
TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3).
-
TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt
-
Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-P10
- 2.4.4-P11
-
-
Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).
-
Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-P10
- 2.4.4-P11
-
In dieser Version enthaltene Hotfixes
Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.
Das System enthält jetzt die erforderlichen Felder, um die Anforderungen des 3DS-VISA-Mandats zu erfüllen, wenn Braintree als Zahlungs-Gateway verwendet wird. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den übermittelten Zahlungsinformationen enthalten, was zur Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.
2.4.6-p7
Die Adobe Commerce-Sicherheitsversion 2.4.6-p7 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.6 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-61.
Highlights
Diese Version umfasst die folgenden Highlights:
-
Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:
- Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
- Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)
Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden unter> 2FA Konfigurationshandbuch.
-
Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".
-
Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.
-
Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“
In dieser Version enthaltene Hotfixes
Diese Version enthält die folgenden Hotfixes:
-
Hotfix zur Behebung eines JavaScript-Fehlers, der verhinderte, dass Google Maps im PageBuilder-Editor ordnungsgemäß gerendert wurden. Weitere Informationen finden Sie Artikel „Überarbeitete Patches für Google Maps - Zugriffsverlust auf alle Adobe CommerceVersionen“ in der Wissensdatenbank.
-
Hotfix zum Beheben eines JSON Web Token (JWT)-Validierungsproblems im Zusammenhang mit CVE-2024-34102. Einzelheiten finden Sie im Sicherheits-Update verfügbar für Adobe Commerce-APSB2440) in der Wissensdatenbank.
2.4.6-p6
Die Adobe Commerce-Sicherheitsversion 2.4.6-p6 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.6 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.
Um die Kompatibilität mit Commerce Version 2.4.6-p6 zu gewährleisten, müssen Händler, die die Adobe Commerce B2B-Erweiterung besitzen, ein Upgrade auf B2B Version 1.4.2-p1 durchführen.
Hotfix für CVE-2024-34102 anwenden
Für Kunden, die den Sicherheits-Patch vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben:
Option 1:
Option 2:
-
Aufkleben isolierten Pflasters.
-
Drehen Verschlüsselungsschlüssel.
Für Kunden, die bereits einen Sicherheits-Patch vom 11. Juni 2024 oder einen isolierten Patch vom 28. Juni 2024 angewendet haben:
Für Kunden, die bereits 1) einen Sicherheits-Patch vom 11. Juni 2024 oder 2) einen isolierten Patch vom 28. Juni 2024 angewendet haben, und 3) rotierten ihre Verschlüsselungsschlüssel:
- Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.
Um die Kompatibilität mit Commerce Version 2.4.6-p6 zu gewährleisten, müssen Händler, die die Adobe Commerce B2B-Erweiterung besitzen, ein Upgrade auf B2B Version 1.4.2-p1 durchführen.
Highlights
-
Unterstützung für Subresource Integrity (SRI) wurde hinzugefügt um die PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten zu erfüllen. Die Unterstützung von Subresource Integrity (SRI) bietet Integritäts-Hashes für alle JavaScript-Assets im lokalen Dateisystem. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Bereiche Admin und Storefront implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource-Integrität im Commerce PHP-Entwicklerhandbuch.
-
Änderungen an der Content Security Policy (CSP) - Konfigurationsaktualisierungen und -verbesserungen an den Adobe Commerce Content Security Policies (CSPs) zur Erfüllung der PCI 4.0-Anforderungen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP-
-
Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce Admin- und Storefront-Bereiche ist jetzt
restrict
. Für alle anderen Seiten ist die Standardkonfigurationreport-only
. In Versionen vor 2.4.7 wurde CSP für alle Seiten imreport-only
konfiguriert. -
Es wurde ein Nonce-Provider hinzugefügt, der die Ausführung von Inline-Skripten in einer CSP ermöglicht. Der Nonce-Anbieter erleichtert die Erstellung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an den CSP-Header angehängt.
-
Es wurden Optionen zum Konfigurieren von benutzerdefinierten URIs hinzugefügt, um CSP-Verletzungen für die Seite „Auftrag erstellen“ in der Admin- und die Checkout-Seite im Storefront zu melden. Sie können die Konfiguration über den Administrator oder durch Hinzufügen des URI zur
config.xml
-Datei hinzufügen.note note NOTE Wenn Sie die CSP-Konfiguration auf den restrict
-Modus aktualisieren, werden möglicherweise vorhandene Inline-Skripte auf Zahlungsseiten in der Admin- und Storefront blockiert, was beim Laden einer Seite den folgenden Browser-Fehler verursacht:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Beheben Sie diese Fehler, indem Sie die Konfiguration der Zulassungsliste aktualisieren, um die erforderlichen Skripte zuzulassen. Siehe Fehlerbehebung im Commerce PHP-.
-
2.4.6-p5
Die Adobe Commerce-Sicherheitsversion 2.4.6-p5 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.6 identifiziert wurden.
Die neuesten Informationen zu diesen Fehlerbehebungen finden Sie im Adobe Security Bulletin APSB24-18.
2.4.6-p4
Die Adobe Commerce-Version 2.4.6-p4 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-03.
Highlights
Diese Version führt zwei wichtige Sicherheitsverbesserungen ein:
-
Änderungen am Verhalten nicht generierter Cache-Schlüssel:
- Nicht generierte Cache-Schlüssel für -Blöcke enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Vorlagenanweisungssyntax oder die
setCacheKey
- odersetData
festgelegt werden.) - Nicht generierte Cache-Schlüssel für -Blöcke dürfen jetzt nur noch Buchstaben, Ziffern, Bindestriche (-) und Unterstriche (_) enthalten.
- Nicht generierte Cache-Schlüssel für -Blöcke enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Vorlagenanweisungssyntax oder die
-
Beschränkungen für die Anzahl der automatisch generierten Couponcodes. Commerce begrenzt jetzt die Anzahl der Gutscheincodes, die automatisch generiert werden. Der standardmäßige Maximalwert ist 250.000. Händler können die neue Code Quantity Limit-Konfigurationsoption (Stores > Settings:Configuration > Customers > Promotions) verwenden, um dieses neue Limit zu steuern.
2.4.6-p3
Die Adobe Commerce-Sicherheitsversion 2.4.6-p3 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.
Die neuesten Informationen zu den Sicherheitskorrekturen finden Sie im Adobe-Sicherheitsbulletin APSB23-50.
Highlights
Diese Version führt eine neue Konfigurationseinstellung für den vollständigen Seiten-Cache ein, die dazu beiträgt, die mit dem {BASE-URL}/page_cache/block/esi HTTP
-Endpunkt verbundenen Risiken zu minimieren. Dieser Endpunkt unterstützt uneingeschränkte, dynamisch geladene Inhaltsfragmente aus Commerce-Layout-Handles und -Blockstrukturen. Die neue Handles Param-Konfigurationseinstellung legt den Wert des handles
-Parameters dieses Endpunkts fest, der die maximal zulässige Anzahl von Handles pro API bestimmt. Der Standardwert dieser Eigenschaft ist 100. Händler können diesen Wert unter Admin ändern (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.
In dieser Version enthaltene Hotfixes
Adobe Commerce 2.4.6-p3 beinhaltet die Auflösung der Leistungsbeeinträchtigung, die durch den Patch ACSD-51892 behoben wurde. Händler sind von dem Problem, das durch diesen Patch behoben wird, nicht betroffen. Dies wird im Artikel ACSD-51892: Leistungsproblem, bei dem Konfigurationsdateien mehrmals geladen werden in der Wissensdatenbank beschrieben.
Bekannte Probleme
Problem: Adobe Commerce zeigt beim Herunterladen durch Composer von repo.magento.com
einen wrong checksum
an, und der Paket-Download wird unterbrochen. Dieses Problem kann beim Herunterladen von Veröffentlichungspaketen auftreten, die während der Vorabversion verfügbar gemacht werden, und wird durch eine Neuverpackung des magento/module-page-cache
-Pakets verursacht.
Problemumgehung: Händler, die diesen Fehler beim Herunterladen sehen, können die folgenden Schritte ausführen:
- Löschen Sie das
/vendor
Verzeichnis innerhalb des Projekts, falls vorhanden. - Führen Sie den
bin/magento composer update magento/module-page-cache
Befehl aus. Dieser Befehl aktualisiert nur daspage cache
.
Wenn das Prüfsummenproblem weiterhin besteht, entfernen Sie die composer.lock
-Datei, bevor Sie den bin/magento composer update
-Befehl erneut ausführen, um jedes Paket zu aktualisieren.
2.4.6-p2
Die Adobe Commerce-Version 2.4.6-p2 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version bietet außerdem Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-42.
Hotfix für CVE-2022-31160 anwenden
jQuery-UI
Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Händler, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Artikel jQuery UI Security Vulnerability CVE-2022-31160 Fix for 2.4.4, 2.4.5 und 2.4.6.
Highlights
Der Wert von fastcgi_pass
in der nginx.sample
-Datei wurde auf den vorherigen Wert (vor 2.4.6-p1) von fastcgi_backend
zurückgesetzt. Dieser Wert wurde in Adobe Commerce 2.4.6-p1 versehentlich in php-fpm:9000
geändert.
In dieser Version enthaltene Hotfixes
Adobe Commerce 2.4.6-p2 schließt die Auflösung der Leistungsbeeinträchtigung ein, die durch den Patch ACSD-51892 behoben wurde. Händler sind von dem Problem, das durch diesen Patch behoben wird, nicht betroffen. Dies wird im Artikel ACSD-51892: Leistungsproblem, bei dem Konfigurationsdateien mehrmals geladen werden in der Wissensdatenbank beschrieben.
2.4.6-p1
Die Adobe Commerce-Version 2.4.6-p1 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version umfasst auch Sicherheitsverbesserungen und Plattform-Upgrades, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-35.
Hotfix für CVE-2022-31160 anwenden
jQuery-UI
Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Händler, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Artikel Sicherheitslücke der Abfrage-Benutzeroberfläche CVE-2022-31160 Fehlerbehebung für die Versionen 2.4.4, 2.4.5 und 2.4.6 der Wissensdatenbank angegeben ist.
hervorheben
Das Standardverhalten der isEmailAvailable
GraphQL-Abfrage und des (V1/customers/isEmailAvailable
) REST-Endpunkts hat sich geändert. Standardmäßig gibt die API jetzt immer true
zurück. Händler können das ursprüngliche Verhalten aktivieren, d. h. true
zurückgeben, wenn die E-Mail nicht in der Datenbank vorhanden ist, und false
, ob sie vorhanden ist.
Plattform-Upgrades
Plattform-Upgrades für diese Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit.
-
Unterstützung des Lackcache 7.3. Diese Version ist kompatibel mit der neuesten Version von Varnish Cache 7.3. Die Kompatibilität mit den Versionen 6.0.x und 7.2.x bleibt bestehen, aber Adobe hat empfohlen, Adobe Commerce 2.4.6-p1 nur mit Varnish Cache Version 7.3 oder Version 6.0 LTS zu verwenden.
-
Unterstützung von RabbitMQ 3.11. Diese Version ist mit der neuesten Version von RabbitMQ 3.11 kompatibel. Die Kompatibilität mit RabbitMQ 3.9 bleibt bestehen, was bis August 2023 unterstützt wird, aber Adobe hat empfohlen, Adobe Commerce 2.4.6-p1 nur mit RabbitMQ 3.11 zu verwenden.
-
JavaScript-. Veraltete JavaScript-Bibliotheken wurden auf die neuesten Neben- oder Patch-Versionen aktualisiert, einschließlich
moment.js
-Bibliothek (v2.29.4),jQuery UI
-Bibliothek (v1.13.2) undjQuery
Validierungs-Plug-in-Bibliothek (v1.19.5).
Bekannte Probleme
-
Die
nginx.sample
-Datei wurde versehentlich mit einer Änderung aktualisiert, die den Wert vonfastcgi_pass
vonfastcgi_backend
inphp-fpm:9000
ändert. Diese Änderung kann sicher rückgängig gemacht oder ignoriert werden. -
Fehlende Abhängigkeiten für das B2B-Sicherheitspaket führen beim Installieren oder Aktualisieren der B2B-Erweiterung auf 1.4.0 zum folgenden Installationsfehler.
code language-none Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.
Dieses Problem kann behoben werden, indem manuelle Abhängigkeiten für das B2B-Sicherheitspaket mit einem ""-Tagwerden. Weitere Informationen finden Sie in den B2B-Versionshinweisen.