DokumentationCommerceVersionsinformationen

Versionshinweise für Adobe Commerce 2.4.7-Sicherheits-Patches

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Themen:

Erstellt für:

  • Experte
  • Admin
  • Entwickler

Diese Versionshinweise zum Sicherheits-Patch erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

  • Fehlerkorrekturen für Sicherheit
  • Sicherheitshinweise, die detailliertere Informationen zu den im Sicherheits-Patch enthaltenen Verbesserungen und Updates enthalten
  • Bekannte Probleme
  • Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
  • Informationen zu den in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

2.4.7-p3

Die Sicherheitsversion Adobe Commerce 2.4.7-p3 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-73.

NOTE
Nach der Installation dieses Sicherheits-Patches müssen auch die B2B-Händler von Adobe Commerce auf die neueste kompatible B2B-Sicherheits-Patch-Version aktualisieren. Siehe B2B-Versionshinweise.

Highlights

Diese Version umfasst die folgenden Highlights:

  • TinyMCE-Upgrade - Der WYSIWYG-Editor im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3 ​).

    • TinyMCE 7.3 bietet eine verbesserte Benutzererfahrung, bessere Zusammenarbeit und höhere Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt. ​

    • Da eine Sicherheitslücke (CVE-2024-38357) aufgetreten ist, die in TinyMCE 5.10 gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Release-Zeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js upgrade - Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).

    • Da eine Sicherheitslücke (CVE-2024-38999) aufgetreten ist, die in Require.js 2.3.6 gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Release-Zeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Diese Aktualisierungen sind abwärtskompatibel und sollten sich nicht auf Anpassungen und Erweiterungen auswirken. ​

In dieser Version enthaltene Hotfixes

Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.

Das System enthält jetzt die erforderlichen Felder, um die Anforderungen an das 3DS VISA-Mandat bei Verwendung von Braintree als Zahlungs-Gateway zu erfüllen. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den gesendeten Zahlungsinformationen enthalten, was zu einer Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.

2.4.7-p2

Die Sicherheitsfreigabe Adobe Commerce 2.4.7-p2 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-61.

Highlights

Diese Version umfasst die folgenden Highlights:

  • Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung bei der Validierung von two-factor authentication (2FA) one-time password (OTP) zu aktivieren:

    • Versuchslimit für Zweifaktorauthentifizierung wiederholen
    • Sperrzeit für die Authentifizierung mit zwei Faktoren (Sekunden)

    Adobe rät, einen Schwellenwert für die 2FA OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zur Abmilderung von Brute-Force-Angriffen zu begrenzen. Weitere Informationen finden Sie unter Sicherheit > 2FA im Konfigurationshandbuch.

  • Verschlüsselungsschlüsselrotation: Ein neuer CLI-Befehl ist jetzt zum Ändern des Verschlüsselungsschlüssels verfügbar. Weitere Informationen finden Sie im Knowledge Base-Artikel Fehlerbehebung beim Rotieren des Verschlüsselungsschlüssels: CVE-2024-34102 .

  • Korrektur für CVE-2020-27511 - Löst eine Prototype.js Sicherheitslücke auf.

  • Fehlerbehebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Ausführung von Remote-Code auf. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbstgehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als separater Patch verfügbar. Weitere Informationen finden Sie im Artikel Sicherheitsupdate für Adobe Commerce - APSB24-61 Knowledge Base .

In dieser Version enthaltene Hotfixes

Diese Version umfasst die folgenden Hotfixes:

2.4.7-p1

Die Adobe Commerce-Sicherheitsversion 2.4.7-p1 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.

Hotfix für CVE-2024-34102 anwenden

IMPORTANT
Dies ist eine dringende Aktualisierung unserer letzten Mitteilung zu CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis bei sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde. Ergreifen Sie sofort Maßnahmen, um die Schwachstelle zu beheben, falls Sie dies noch nicht getan haben.

Für Kunden, die keinen am 11. Juni 2024 veröffentlichten Sicherheits-Patch oder den am 28. Juni 2024 veröffentlichten isolierten Patch angewendet haben:

Option 1:

  1. Wenden Sie einen der am 11. Juni 2024 veröffentlichten Sicherheits-Patches an:

  2. Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.

  3. Drehen der Verschlüsselungsschlüssel.

Option 2:

  1. Wenden Sie den isolierten Patch an.

  2. Drehen der Verschlüsselungsschlüssel.

Für Kunden, die bereits einen am 11. Juni 2024 veröffentlichten Sicherheits-Patch oder den am 28. Juni 2024 veröffentlichten isolierten Patch angewendet haben:

  1. Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.

  2. Drehen der Verschlüsselungsschlüssel.

Für Kunden, die bereits 1) einen Sicherheits-Patch angewendet haben, der am 11. Juni 2024 veröffentlicht wurde, oder 2) den am 28. Juni 2024 veröffentlichten isolierten Patch, und 3) ihre Verschlüsselungsschlüssel rotieren:

  1. Wenden Sie den am 17. Juli 2024 veröffentlichten Hotfix an.

Highlights

Diese Version umfasst die folgenden Highlights:

  • Aktualisieren der Einstellungen für das einmalige Kennwort (OTP) 🔗 für den Google Authenticator - Diese Aktualisierung ist erforderlich, um einen Fehler zu beheben, der durch eine mit abwärtskompatible Änderung in 2.4.7 eingeführt wurde. Die Beschreibung des Felds OTP Window bietet jetzt eine genaue Erläuterung der Einstellung, und der Standardwert wurde von 1 in 29 geändert.

  • B2B-Versionskompatibilität: Zur Kompatibilität mit Commerce Version 2.4.7-p1 müssen Händler, die über die Adobe Commerce B2B-Erweiterung verfügen, auf B2B-Version 1.4.2-p1 aktualisieren.

In dieser Version enthaltene Hotfixes

Adobe Commerce 2.4.7-p1 behebt ein Problem, das beim Umfang der UPS-Integrationsmigration von der SOAP auf die REST-API eingeführt wurde. Dieses Problem betraf Kunden, die außerhalb der USA versenden, und hinderte sie daran, die Metrik-System-/SI-Messungen von Kilogramm und Zentimetern für Pakete zu verwenden, um Sendungen mit UPS zu erstellen. Weitere Informationen finden Sie im Artikel zur Wissensdatenbank der UPS Versandmethodenintegration von SOAP zu RESTful API .

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f