Actualización de seguridad disponible para Adobe Commerce - APSB24-40
El 17 de julio de 2024, publicamos hotfix además de la actualización de seguridad del 11 de junio de 2024 o el parche aislado del 28 de junio de 2024.
Compruebe todos los entornos de producción y que no sean de producción para asegurarse de que la tienda tenga parches en todas las instancias. Realice acción inmediata para resolver la vulnerabilidad.
1. Asegúrese de que se encuentra en la última versión de ECE Tools. Si no lo está, actualice (o salte al elemento 2). Para comprobar la versión existente, ejecute este comando:
composer show magento/ece-tools
2. Si ya se encuentra en la última versión de ECE Tools, compruebe la presencia del archivo
op-exclude.txt
. Para ello, ejecute este comando:ls op-exclude.txt
. Si este archivo no está presente, agregue https://github.com/magento/magento-cloud/blob/master/op-exclude.txt a su repositorio, confirme el cambio y vuelva a implementar.3. Sin tener que actualizar ECE Tools, también puede agregar o modificar https://github.com/magento/magento-cloud/blob/master/op-exclude.txt en su repositorio, confirmar el cambio y volver a implementar.
Opción 1: para los comerciantes que no hayan aplicado la actualización de seguridad del 11 de junio de 2024, ni el parche aislado lanzado el 28 de junio de 2024
- Aplicar hotfix lanzado el 17 de julio de 2024.
- Aplique el parche de seguridad.
- Habilitar maintenance mode.
- Deshabilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:disable
). - Rotar tu encryption keys.
- Vaciar la caché.
- Habilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:enable
). - Deshabilitar maintenance mode.
O
- Aplique el parche aislado. NOTA: Esta versión de la revisión aislada contiene la revisión hotfix del 17 de julio de 2024.
- Habilitar maintenance mode.
- Deshabilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:disable
). - Rotar tu encryption keys.
- Vaciar la caché.
- Habilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:enable
). - Deshabilitar maintenance mode.
Opción 2: para comerciantes que ya han aplicado la actualización de seguridad del 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024
- Aplicar hotfix lanzado el 17 de julio de 2024.
- Habilitar maintenance mode.
- Deshabilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:disable
). - Rotar tu encryption keys.
- Vaciar la caché.
- Habilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:enable
). - Deshabilitar maintenance mode.
Opción 3: para los comerciantes que ya (1) aplicaron la actualización de seguridad del 11 de junio de 2024 o (2) el parche aislado lanzado el 28 de junio de 2024 y (3) giraron las claves de cifrado
- Aplicar la revisión publicada el 17 de julio de 2024.
1. Habilitar maintenance mode.
2. Deshabilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:disable
).3. Rotar su encryption keys.
4. Habilitar la ejecución de cron (comando de Commerce en la nube:
vendor/bin/ece-tools cron:enable
).5. Deshabilitar maintenance mode.
En este artículo encontrará cómo implementar el parche aislado para este problema para las versiones actuales y anteriores de Adobe Commerce y Magento Open Source.
NOTA: Esta versión de la revisión aislada contiene la revisión hotfix del 17 de julio de 2024.
Productos y versiones afectados
Adobe Commerce en la nube, Adobe Commerce local y Magento Open Source:
- 2.4.7-p1 y anteriores
- 2.4.6-p6 y anteriores
- 2.4.5-p8 y anteriores
- 2.4.4-p9 y anteriores
Solución para Adobe Commerce en la nube, software local de Adobe Commerce y Magento Open Source
Para ayudar a resolver la vulnerabilidad de los productos y las versiones afectados, debe aplicar el parche VULN-27015 (depende de su versión) y girar encryption keys.
Detalles de revisión hotfix
- Descargar Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
Detalles de parches aislados
NOTA: Esta versión de la revisión aislada contiene la revisión hotfix del 17 de julio de 2024.
Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce/Magento Open Source:
Para la versión 2.4.7:
Para las versiones 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
Para las versiones 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
Para las versiones 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
Cómo aplicar el parche aislado y hotfix
Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por el Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.
Solo para comerciantes de Adobe Commerce en la nube: cómo saber si se han aplicado los parches aislados
Teniendo en cuenta que no es posible comprobar fácilmente si se ha aplicado un parche al problema, es posible que desee comprobar si el parche aislado de VULN-27015 se ha aplicado correctamente.
Para ello, siga los siguientes pasos y use el archivo VULN-27015-2.4.7_COMPOSER.patch
como ejemplo:
-
Ejecute el comando:
-
Debería ver una salida similar a esta, donde VULN-27015 devuelve el estado Aplicado:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Rotar o cambiar encryption key después de aplicar el parche
Para obtener instrucciones sobre cómo rotar o cambiar el encryption key después de aplicar el parche, consulte la Guía de sistemas de administración: Encryption key en la documentación de la Guía de sistemas de administración de Commerce.
Directrices adicionales para proteger su tienda y girar las claves de cifrado
Para obtener instrucciones adicionales sobre cómo proteger el almacén y girar las claves de cifrado con respecto a CVE-2024-34102, consulte Directrices sobre cómo proteger el almacén y girar las claves de cifrado: CVE-2024-34102, también en la Base de conocimiento de Adobe Commerce.
Actualizaciones de seguridad
Actualizaciones de seguridad disponibles para Adobe Commerce:
Lectura relacionada
Habilitar o deshabilitar maintenance mode en la Guía de instalación de Adobe Commerce