Actualización de seguridad disponible para Adobe Commerce - APSB24-40

NOTE
**Se trata de una actualización urgente relacionada con CVE-2024-34102. El Adobe sabe que CVE-2024-34102 ha sido explotado en su hábitat natural en ataques muy limitados dirigidos a comerciantes de Adobe Commerce.

El 17 de julio de 2024, publicamos hotfix además de la actualización de seguridad del 11 de junio de 2024 o el parche aislado del 28 de junio de 2024.

Compruebe todos los entornos de producción y que no sean de producción para asegurarse de que la tienda tenga parches en todas las instancias. Realice acción inmediata para resolver la vulnerabilidad.

NOTE
Solo para comerciantes de Adobe Commerce en la nube:

1. Asegúrese de que se encuentra en la última versión de ECE Tools. Si no lo está, actualice (o salte al elemento 2). Para comprobar la versión existente, ejecute este comando:composer show magento/ece-tools
2. Si ya se encuentra en la última versión de ECE Tools, compruebe la presencia del archivo op-exclude.txt. Para ello, ejecute este comando:ls op-exclude.txt. Si este archivo no está presente, agregue https://github.com/magento/magento-cloud/blob/master/op-exclude.txt a su repositorio, confirme el cambio y vuelva a implementar.
3. Sin tener que actualizar ECE Tools, también puede agregar o modificar https://github.com/magento/magento-cloud/blob/master/op-exclude.txt en su repositorio, confirmar el cambio y volver a implementar.

Opción 1: para los comerciantes que no hayan aplicado la actualización de seguridad del 11 de junio de 2024, ni el parche aislado lanzado el 28 de junio de 2024

  1. Aplicar hotfix lanzado el 17 de julio de 2024.
  2. Aplique el parche de seguridad.
  3. Habilitar maintenance mode.
  4. Deshabilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  5. Rotar tu encryption keys.
  6. Vaciar la caché.
  7. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  8. Deshabilitar maintenance mode.

O

  1. Aplique el parche aislado. NOTA: Esta versión de la revisión aislada contiene la revisión hotfix del 17 de julio de 2024.
  2. Habilitar maintenance mode.
  3. Deshabilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  4. Rotar tu encryption keys.
  5. Vaciar la caché.
  6. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  7. Deshabilitar maintenance mode.

Opción 2: para comerciantes que ya han aplicado la actualización de seguridad del 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024

  1. Aplicar hotfix lanzado el 17 de julio de 2024.
  2. Habilitar maintenance mode.
  3. Deshabilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  4. Rotar tu encryption keys.
  5. Vaciar la caché.
  6. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  7. Deshabilitar maintenance mode.

Opción 3: para los comerciantes que ya (1) aplicaron la actualización de seguridad del 11 de junio de 2024 o (2) el parche aislado lanzado el 28 de junio de 2024 y (3) giraron las claves de cifrado

  • Aplicar la revisión publicada el 17 de julio de 2024.
NOTE
Para asegurarse de que sigue a salvo después de la actualización, también debe rotar su encryption keys:

1. Habilitar maintenance mode.
2. Deshabilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
3. Rotar su encryption keys.
4. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
5. Deshabilitar maintenance mode.

En este artículo encontrará cómo implementar el parche aislado para este problema para las versiones actuales y anteriores de Adobe Commerce y Magento Open Source.
NOTA: Esta versión de la revisión aislada contiene la revisión hotfix del 17 de julio de 2024.

Productos y versiones afectados

Adobe Commerce en la nube, Adobe Commerce local y Magento Open Source:

  • 2.4.7-p1 y anteriores
  • 2.4.6-p6 y anteriores
  • 2.4.5-p8 y anteriores
  • 2.4.4-p9 y anteriores

Solución para Adobe Commerce en la nube, software local de Adobe Commerce y Magento Open Source

Para ayudar a resolver la vulnerabilidad de los productos y las versiones afectados, debe aplicar el parche VULN-27015 (depende de su versión) y girar encryption keys.

Detalles de revisión hotfix

Detalles de parches aislados

NOTA: Esta versión de la revisión aislada contiene la revisión hotfix del 17 de julio de 2024.

Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce/Magento Open Source:

Para la versión 2.4.7:

Para las versiones 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Para las versiones 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Para las versiones 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Cómo aplicar el parche aislado y hotfix

Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por el Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.

Solo para comerciantes de Adobe Commerce en la nube: cómo saber si se han aplicado los parches aislados

Teniendo en cuenta que no es posible comprobar fácilmente si se ha aplicado un parche al problema, es posible que desee comprobar si el parche aislado de VULN-27015 se ha aplicado correctamente.

Para ello, siga los siguientes pasos y use el archivo VULN-27015-2.4.7_COMPOSER.patch como ejemplo:

  1. Instalar la herramienta Parches de calidad.

  2. Ejecute el comando:

    cve-2024-34102-tell-if-patch-applied-code

  3. Debería ver una salida similar a esta, donde VULN-27015 devuelve el estado Aplicado:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Rotar o cambiar encryption key después de aplicar el parche

Para obtener instrucciones sobre cómo rotar o cambiar el encryption key después de aplicar el parche, consulte la Guía de sistemas de administración: Encryption key en la documentación de la Guía de sistemas de administración de Commerce.

Directrices adicionales para proteger su tienda y girar las claves de cifrado

Para obtener instrucciones adicionales sobre cómo proteger el almacén y girar las claves de cifrado con respecto a CVE-2024-34102, consulte Directrices sobre cómo proteger el almacén y girar las claves de cifrado: CVE-2024-34102, también en la Base de conocimiento de Adobe Commerce.

Actualizaciones de seguridad

Actualizaciones de seguridad disponibles para Adobe Commerce:

Lectura relacionada

Habilitar o deshabilitar maintenance mode en la Guía de instalación de Adobe Commerce

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a