Dokumentation Commerce Versionsinformationen

Versionshinweise für Adobe Commerce 2.4.6-Sicherheits-Patches

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Themen:

Erstellt für:

Experte
Admin
Entwickler

Diese Versionshinweise zum Sicherheits-Patch erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

Fehlerkorrekturen für Sicherheit
Sicherheitshinweise, die detailliertere Informationen zu den im Sicherheits-Patch enthaltenen Verbesserungen und Updates enthalten
Bekannte Probleme
Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
Informationen zu den in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

Übersicht über Adobe Commerce Security Patch Releases
Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie im Upgrade-Handbuch

Adobe Commerce 2.4.6-p6

Die Adobe Commerce-Sicherheitsversion 2.4.6-p6 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.6 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.

Hotfix für CVE-2024-34102 anwenden

IMPORTANT

Dies ist eine dringende Aktualisierung unserer letzten Mitteilung zu CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis bei sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde. Ergreifen Sie sofort Maßnahmen, um die Schwachstelle zu beheben, falls Sie dies noch nicht getan haben.

Für Kunden, die keinen am 11. Juni 2024 veröffentlichten Sicherheits-Patch oder den am 28. Juni 2024 veröffentlichten isolierten Patch angewendet haben:

Option 1:

Wenden Sie einen der am 11. Juni 2024 veröffentlichten Sicherheits-Patches an:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.
Drehen der Verschlüsselungsschlüssel.

Option 2:

Wenden Sie den isolierten Patch an.
Drehen der Verschlüsselungsschlüssel.

Für Kunden, die bereits einen am 11. Juni 2024 veröffentlichten Sicherheits-Patch oder den am 28. Juni 2024 veröffentlichten isolierten Patch angewendet haben:

Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.
Drehen der Verschlüsselungsschlüssel.

Für Kunden, die bereits 1) einen Sicherheits-Patch angewendet haben, der am 11. Juni 2024 veröffentlicht wurde, oder 2) den am 28. Juni 2024 veröffentlichten isolierten Patch, und 3) ihre Verschlüsselungsschlüssel rotieren:

Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.

Sicherheitshervorhebung

Zur Kompatibilität mit Commerce-Version 2.4.6-p6 müssen Händler mit der Adobe Commerce B2B-Erweiterung auf B2B-Version 1.4.2-p1 aktualisieren.

Zusätzliche Sicherheitsverbesserungen

Subresource Integrity (SRI)-Unterstützung wurde hinzugefügt, um PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten zu erfüllen. Die Unterstützung von Subresource Integrity (SRI) bietet Integrations-Hashes für alle JavaScript-Assets, die sich im lokalen Dateisystem befinden. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Admin- und Storefront-Bereiche implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource Integrity im Commerce PHP Developer Guide.

Änderungen an der Content Security Policy (CSP) - Konfigurationsaktualisierungen und -verbesserungen für Adobe Commerce Content Security Policies (CSPs), um die Anforderungen von PCI 4.0 zu erfüllen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP Developer Guide.

Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce-Admin- und Storefront-Bereiche ist jetzt restrict -Modus. Für alle anderen Seiten ist die Standardkonfiguration der Modus "report-only". In Versionen vor 2.4.7 wurde CSP für alle Seiten im report-only -Modus konfiguriert.
Es wurde ein Nonce-Anbieter hinzugefügt, um die Ausführung von Inline-Skripten in einer CSP zu ermöglichen. Der Nonce-Provider erleichtert die Generierung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an die CSP-Kopfzeile angehängt.

Es wurden Optionen hinzugefügt, mit denen benutzerdefinierte URIs konfiguriert werden können, um CSP-Verstöße für die Seite "Auftrag erstellen"in der Admin- und die Seite "Auschecken"im Storefront zu melden. Sie können die Konfiguration vom Administrator hinzufügen oder den URI zur Datei config.xml hinzufügen.

note note

note note
NOTE
Die Aktualisierung der CSP-Konfiguration auf den Modus "`restrict`"kann vorhandene Inline-Skripte auf Zahlungsseiten in Admin und Storefront blockieren, was beim Laden einer Seite den folgenden Browserfehler verursacht: `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src`. Beheben Sie diese Fehler, indem Sie die Konfiguration der Whitelist so aktualisieren, dass erforderliche Skripte zugelassen werden. Siehe Fehlerbehebung im Commerce PHP Developer Guide.

NOTE

Die Aktualisierung der CSP-Konfiguration auf den Modus "restrict"kann vorhandene Inline-Skripte auf Zahlungsseiten in Admin und Storefront blockieren, was beim Laden einer Seite den folgenden Browserfehler verursacht: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Beheben Sie diese Fehler, indem Sie die Konfiguration der Whitelist so aktualisieren, dass erforderliche Skripte zugelassen werden. Siehe Fehlerbehebung im Commerce PHP Developer Guide.

Adobe Commerce 2.4.6-p5

Die Adobe Commerce-Sicherheitsversion 2.4.6-p5 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.6 identifiziert wurden.

Die neuesten Informationen zu diesen Fehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-18.

Adobe Commerce 2.4.6-p4

Die Sicherheitsversion Adobe Commerce 2.4.6-p4 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, die die Einhaltung der neuesten Best Practices für die Sicherheit verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-03.

Sicherheitshinweise

Mit dieser Version werden zwei wesentliche Sicherheitsverbesserungen eingeführt:

Änderungen am Verhalten nicht generierter Cache-Schlüssel:
- Nicht generierte Cache-Schlüssel für Bausteine enthalten jetzt Präfixe, die sich von Präfixen für automatisch generierte Schlüssel unterscheiden. (Nicht generierte Cache-Schlüssel sind Schlüssel, die über die Syntax der Vorlagenanweisung oder die Methoden setCacheKey oder setData festgelegt werden.)
- Nicht generierte Cache-Schlüssel für Blöcke dürfen jetzt nur Buchstaben, Ziffern, Bindestriche (-) und Unterstriche (_) enthalten.
Beschränkungen der Anzahl der automatisch generierten Couponcodes. Commerce beschränkt jetzt die Anzahl der automatisch generierten Couponcodes. Der Standardwert ist maximal 250.000. Händler können die neue Konfigurationsoption Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) verwenden, um diese neue Begrenzung zu steuern.

Adobe Commerce 2.4.6-p3

Die Sicherheitsversion Adobe Commerce 2.4.6-p3 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version enthält auch Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitskorrekturen finden Sie im Adobe-Sicherheitsbulletin APSB23-50.

Sicherheitshinweise

Mit dieser Version wird eine neue Einstellung für die vollständige Seiten-Cache-Konfiguration eingeführt, die dazu beiträgt, die Risiken im Zusammenhang mit dem {BASE-URL}/page_cache/block/esi HTTP -Endpunkt zu verringern. Dieser Endpunkt unterstützt nicht eingeschränkte, dynamisch geladene Inhaltsfragmente aus Commerce-Layout-Handles und -Blockstrukturen. Die neue Konfigurationseinstellung Handles Param legt den Wert des Parameters handles dieses Endpunkts fest, der die maximal zulässige Anzahl von Handles pro API bestimmt. Der Standardwert dieser Eigenschaft ist 100. Händler können diesen Wert über Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param ändern.

In dieser Version enthaltene Hotfixes

Adobe Commerce 2.4.6-p3 beinhaltet die Auflösung des durch Patch ACSD-51892 festgelegten Leistungsabfalls. Händler sind nicht von dem Problem betroffen, das durch diesen Patch behoben wird, der im Knowledge Base-Artikel ACSD-51892: Leistungsproblem beschrieben wird, bei dem Konfigurationsdateien mehrmals geladen werden.

Bekanntes Problem

Problem: Adobe Commerce zeigt während des Herunterladens durch den Composer von repo.magento.com einen Fehler vom Typ wrong checksum an und der Paketdownload wird unterbrochen. Dieses Problem kann beim Herunterladen von Release-Paketen auftreten, die während der Vorabversion bereitgestellt werden, und wird durch eine Neuverpackung des magento/module-page-cache -Pakets verursacht.

Problemumgehung: Händler, die diesen Fehler beim Herunterladen sehen, können die folgenden Schritte ausführen:

Löschen Sie das Verzeichnis "/vendor" im Projekt, sofern vorhanden.
Führen Sie den Befehl bin/magento composer update magento/module-page-cache aus. Dieser Befehl aktualisiert nur das page cache -Paket.

Wenn das Prüfsummenproblem fortbesteht, entfernen Sie die Datei "composer.lock", bevor Sie den Befehl "bin/magento composer update"erneut ausführen, um jedes Paket zu aktualisieren.

2.4.6-p2

Die Sicherheitsversion Adobe Commerce 2.4.6-p2 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version bietet außerdem Sicherheitsverbesserungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-42.

Wenden Sie einen Patch an, um die Sicherheitslücke CVE-2022-31160 in der jQuery-UI-Bibliothek zu beheben.

jQuery-UI -Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Merchants, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Knowledge Base-Artikel 2.4.4, 2.4.5 und 2.4.6 zur Sicherheitslücke CVE-2022-31160 in der jQuery-Benutzeroberfläche angegeben ist.🔗

Sicherheitshinweis

Der Wert von fastcgi_pass in der Datei nginx.sample wurde zum vorherigen (vor 2.4.6-p1) Wert von fastcgi_backend zurückgegeben. Dieser Wert wurde in Adobe Commerce 2.4.6-p1 versehentlich in php-fpm:9000 geändert.

In dieser Version enthaltene Hotfixes

Adobe Commerce 2.4.6-p2 beinhaltet die Auflösung des Leistungsabfalls, der durch Patch ACSD-51892 behoben wurde. Händler sind nicht von dem Problem betroffen, das durch diesen Patch behoben wird, der im Knowledge Base-Artikel ACSD-51892: Leistungsproblem beschrieben wird, bei dem Konfigurationsdateien mehrmals geladen werden.

Adobe Commerce 2.4.6-p1

Die Adobe Commerce-Sicherheitsversion 2.4.6-p1 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen identifiziert wurden. Diese Version umfasst auch Sicherheitsverbesserungen und Plattformaktualisierungen, um die Einhaltung der neuesten Best Practices für die Sicherheit zu verbessern.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB23-35.

Wenden Sie einen Patch an, um die Sicherheitslücke CVE-2022-31160 in der jQuery-UI-Bibliothek zu beheben.

jQuery-UI -Bibliotheksversion 1.13.1 weist eine bekannte Sicherheitslücke (CVE-2022-31160) auf, die mehrere Versionen von Adobe Commerce und Magento Open Source betrifft. Diese Bibliothek ist eine Abhängigkeit von Adobe Commerce und Magento Open Source 2.4.4, 2.4.5 und 2.4.6. Merchants, die betroffene Bereitstellungen ausführen, sollten den Patch anwenden, der im Knowledge Base-Artikel 2.4.4, 2.4.5 und 2.4.6 der Sicherheitslücke CVE-2022-31160 im Abschnitt zur Fehlerbehebung der Query UI angegeben ist.🔗

Sicherheitshinweis

Das Standardverhalten der GraphQL-Abfragen isEmailAvailable und des REST-Endpunkts (V1/customers/isEmailAvailable) wurde geändert. Standardmäßig gibt die API jetzt immer true zurück. Händler können das ursprüngliche Verhalten aktivieren, d. h. true zurückgeben, wenn die E-Mail nicht in der Datenbank vorhanden ist, und false, wenn sie existiert.

Plattformaktualisierungen

Plattformaktualisierungen für diese Version verbessern die Einhaltung der neuesten Best Practices für die Sicherheit.

Unterstützung des Unterschiedlichen Cache 7.3. Diese Version ist mit der neuesten Version von Varnish Cache 7.3 kompatibel. Die Kompatibilität bleibt mit den Versionen 6.0.x und 7.2.x bestehen. Adobe wird jedoch empfohlen, Adobe Commerce 2.4.6-p1 nur mit Version 7.3 (Varnish Cache) oder Version 6.0 LTS zu verwenden.
RabbitMQ 3.11-Unterstützung. Diese Version ist mit der neuesten Version von RabbitMQ 3.11 kompatibel. Die Kompatibilität mit RabbitMQ 3.9 bleibt erhalten, was bis August 2023 unterstützt wird. Adobe wird jedoch empfohlen, Adobe Commerce 2.4.6-p1 nur mit RabbitMQ 3.11 zu verwenden.
JavaScript-Bibliotheken. Veraltete JavaScript-Bibliotheken wurden auf die neuesten kleineren oder Patch-Versionen aktualisiert, einschließlich der moment.js -Bibliothek (v2.29.4), der jQuery UI -Bibliothek (v1.13.2) und der jQuery -Validierungs-Plug-in-Bibliothek (v1.19.5).

Bekannte Probleme

Die Datei nginx.sample wurde versehentlich mit einer Änderung aktualisiert, die den Wert von fastcgi_pass von fastcgi_backend in php-fpm:9000 ändert. Diese Änderung kann sicher rückgängig gemacht oder ignoriert werden.

Fehlende Abhängigkeiten für das B2B-Sicherheitspaket verursachen den folgenden Installationsfehler bei der Installation oder Aktualisierung der B2B-Erweiterung auf 1.4.0.

code language-none

code language-none
`Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.`

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

Dieses Problem kann gelöst werden, indem manuelle Abhängigkeiten für das B2B-Sicherheitspaket mit dem Stabilitäts-Tag hinzugefügt werden. Weitere Informationen finden Sie in den B2B-Versionshinweisen.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f