DokumentationCommerceVersionsinformationen

Versionshinweise für Adobe Commerce 2.4.7-Sicherheits-Patches

Letzte Aktualisierung: 11. Februar 2025
  • Themen:

Erstellt für:

  • Experte
  • Admin
  • Entwickler

Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

  • Fehlerbehebungen bei der Sicherheit
  • Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
  • Bekannte Probleme
  • Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
  • Informationen zu allen in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

  • Überblick über Adobe Commerce Security-Patch-Versionen
  • Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie im Upgrade-Handbuch

2.4.7-p4

Die Adobe Commerce-Version 2.4.7-p4 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-08.

NOTE
Nach der Installation dieses Sicherheits-Patches müssen Adobe Commerce B2B-Händler auch auf die neueste kompatible Version des B2B-Sicherheits-Patches aktualisieren. Siehe B2B-.

Highlights

Diese Version enthält die folgende Hervorhebung:

  • Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.

    Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.

  • Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.

    Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie „KnowledgeBase-Artikel“

2.4.7-p3

Die Adobe Commerce-Sicherheitsversion 2.4.7-p3 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-73.

NOTE
Nach der Installation dieses Sicherheits-Patches müssen Adobe Commerce B2B-Händler auch auf die neueste kompatible Version des B2B-Sicherheits-Patches aktualisieren. Siehe B2B-.

Highlights

Diese Version umfasst die folgenden Highlights:

  • TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3​).

    • TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt​

    • Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-P10
      • 2.4.4-P11

  • Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).

    • Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-P10
      • 2.4.4-P11
NOTE
Diese Aktualisierungen sind abwärtskompatibel und sollten sich nicht auf Anpassungen und Erweiterungen auswirken​

In dieser Version enthaltene Hotfixes

Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.

Das System enthält jetzt die erforderlichen Felder, um die Anforderungen des 3DS-VISA-Mandats zu erfüllen, wenn Braintree als Zahlungs-Gateway verwendet wird. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den übermittelten Zahlungsinformationen enthalten, was zur Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.

2.4.7-p2

Die Adobe Commerce-Version 2.4.7-p2 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-61.

Highlights

Diese Version umfasst die folgenden Highlights:

  • Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:

    • Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
    • Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)

    Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden unter> 2FA Konfigurationshandbuch.

  • Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".

  • Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.

  • Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“

In dieser Version enthaltene Hotfixes

Diese Version enthält die folgenden Hotfixes:

  • Hotfix zur Behebung eines JavaScript-Fehlers, der verhinderte, dass Google Maps im PageBuilder-Editor ordnungsgemäß gerendert wurden. Weitere Informationen finden Sie Artikel „Überarbeitete Patches für Google Maps - Zugriffsverlust auf alle Adobe CommerceVersionen“ in der Wissensdatenbank.

  • Hotfix zum Beheben eines JSON Web Token (JWT)-Validierungsproblems im Zusammenhang mit CVE-2024-34102. Einzelheiten finden Sie im Sicherheits-Update verfügbar für Adobe Commerce-APSB2440) in der Wissensdatenbank.

2.4.7-p1

Die Sicherheitsversion 2.4.7-p1 von Adobe Commerce bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.

Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.

Hotfix für CVE-2024-34102 anwenden

IMPORTANT
Dies ist eine dringende Aktualisierung unserer letzten Mitteilung zu CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgebeutet wurde. Ergreifen Sie sofort Maßnahmen, um die Sicherheitslücke zu schließen, falls Sie dies noch nicht getan haben.

Für Kunden, die den Sicherheits-Patch vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben:

Option 1:

  1. Wenden Sie eines der Sicherheits-Patches an, die am 11. Juni 2024 veröffentlicht wurden:

    • 2.4.7-P1

    • 2.4.6-P6

    • 2.4.5-P8

    • 2.4.4-P9

  2. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

  3. Drehen Verschlüsselungsschlüssel.

Option 2:

  1. Aufkleben isolierten Pflasters.

  2. Drehen Verschlüsselungsschlüssel.

Für Kunden, die bereits einen Sicherheits-Patch vom 11. Juni 2024 oder einen isolierten Patch vom 28. Juni 2024 angewendet haben:

  1. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

  2. Drehen Verschlüsselungsschlüssel.

Für Kunden, die bereits 1) einen Sicherheits-Patch vom 11. Juni 2024 oder 2) einen isolierten Patch vom 28. Juni 2024 angewendet haben, und 3) rotierten ihre Verschlüsselungsschlüssel:

  1. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

Highlights

Diese Version umfasst die folgenden Highlights:

  • Aktualisieren Einstellungen für einmaliges Kennwort (OTP) für Google Authenticator-Dieses Update ist erforderlich, um einen Fehler zu beheben, der durch eine abwärtsinkompatible Änderung in 2.4.7 eingeführt wurde. Die Beschreibung des Felds OTP Window bietet nun eine genaue Erklärung der Einstellung, und der Standardwert wurde von 1 in 29 geändert.

  • B2B-Versionskompatibilität - Zur Kompatibilität mit Commerce Version 2.4.7-p1 müssen Händler, die die Adobe Commerce B2B-Erweiterung haben, ein Upgrade auf B2B Version 1.4.2-p1 durchführen.

In dieser Version enthaltene Hotfixes

Adobe Commerce 2.4.7-p1 löst ein Problem, das im Rahmen der UPS-Integrationsmigration von der SOAP zur REST-API eingeführt wurde. Dieses Problem betraf Kunden, die außerhalb der USA versenden, und hinderte sie daran, die metrischen System-/SI-Messungen von Kilogramm und Zentimeter für Pakete zu verwenden, um Sendungen mit UPS zu erstellen. Weitere Informationen finden Sie Knowledgebase-Artikel zur Migration der UPS-Versandmethodenintegration von SOAPRESTful-API.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f