Notes de mise à jour d’Adobe Commerce 2.4.3-p1
Adobe Commerce 2.4.3-p1 est une version de sécurité qui fournit sept correctifs de sécurité qui améliorent votre déploiement Adobe Commerce 2.4.3 ou Magento Open Source 2.4.3. Il fournit des correctifs pour les vulnérabilités identifiées dans la version précédente (Adobe Commerce 2.4.3 et Magento Open Source 2.4.3).
Appliquer AC-3022.patch continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent s’appliquer AC-3022.patch dès leur première convenance de continuer à proposer DHL comme transporteur. Voir Appliquez un correctif pour continuer à proposer DHL comme opérateur de transport Article de la base de connaissances pour plus d’informations sur le téléchargement et l’installation du correctif.
Qu’y a-t-il dans cette version ?
Ce correctif de sécurité inclut :
- Tous les correctifs qui ont été publiés pour la version précédente du correctif
- Amélioration de la sécurité
- Sept correctifs de sécurité. Un seul de ces sept correctifs est une vulnérabilité rapportée de l'extérieur. Les correctifs des vulnérabilités signalées de l’extérieur sont documentés dans la variable Bulletin de sécurité Adobe.
- Correctifs de bogues pour Braintree, Klarna, et Vertex extensions développées par des fournisseurs.
Correctifs
Cette version comprend le correctif suivant :
- Correctif
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Voir Correctif d’erreur fatale PHP de la mise à niveau Adobe Commerce 2.4.3, 2.3.7-p1 Article de la base de connaissances pour plus d’informations sur les correctifs et les problèmes.
Mise en évidence de la sécurité
Les ID de session ont été supprimés de la base de données.. Ce changement de code peut entraîner des modifications rompues si les marchands disposent de personnalisations ou d’extensions installées qui utilisent les ID de session bruts stockés dans la base de données.
Accès restreint de l’administrateur aux dossiers de la galerie multimédia. Les autorisations de galerie de médias par défaut autorisent désormais uniquement les opérations de répertoire (affichage, chargement, suppression et création) explicitement autorisées par la configuration. Les utilisateurs administrateurs ne peuvent plus accéder aux ressources multimédia par le biais de la galerie de médias qui ont été chargées en dehors de la section catalog/category ou wysiwyg répertoires. Les administrateurs qui souhaitent accéder aux ressources multimédia doivent les déplacer vers un dossier explicitement autorisé ou ajuster leurs paramètres de configuration. Voir Modification des autorisations de dossier Media Library.
Limites réduites à la complexité des requêtes GraphQL. La complexité de requête maximale autorisée par GraphQL a été réduite afin d’éviter les attaques par déni de service (DOS). Voir Configuration de la sécurité GraphQL.
Vulnérabilités des tests de pénétration récents ont été corrigés dans cette version.
Expression source non prise en charge unsafe-inline a été supprimé de la stratégie de sécurité du contenu. frame-ancestors de . GitHub-33101
Instructions d’installation et de mise à niveau
Pour plus d’informations sur le téléchargement et l’application de correctifs de sécurité (y compris le correctif 2.4.3-p1), voir Installation de démarrage rapide.
Plus d'informations ?
Pour obtenir des informations générales sur les correctifs de sécurité, voir Présentation de la nouvelle version du correctif de sécurité.