Aplicar AC-3022.patch para seguir ofreciendo DHL como transportista

DHL ha introducido la versión de esquema 6.2 y dejará de utilizar la versión de esquema 6.0 en un futuro próximo. Adobe Commerce 2.4.4 y las versiones anteriores compatibles con la integración de DHL solo admiten la versión 6.0. Los comerciantes que implementen estas versiones deben aplicar AC-3022.patch lo antes posible para seguir ofreciendo DHL como transportista. Consulte el artículo de la base de conocimiento Aplicar un parche para seguir ofreciendo DHL como transportista para obtener información sobre cómo descargar e instalar el parche.

Parche de seguridad disponible

Los comerciantes ahora pueden instalar correcciones de seguridad urgentes sin aplicar los cientos de correcciones y mejoras funcionales que ofrece una versión trimestral completa (por ejemplo, 2.4.1-p1). El parche 2.4.0.12 (Composer package 2.4.1-p1) es un parche de seguridad que proporciona correcciones para vulnerabilidades que se han identificado en nuestra versión trimestral anterior, 2.4.1. Todas las correcciones rápidas aplicadas a la versión 2.4.1 se incluyen en este parche de seguridad. (Una corrección rápida proporciona una corrección de una versión publicada que soluciona un problema o error específico).

Para obtener información general acerca de los parches de seguridad, consulte Presentación de la nueva versión de parches de seguridad. Para obtener instrucciones sobre cómo descargar y aplicar parches de seguridad (incluido el parche 2.4.1-p1), consulte Instalación rápida local. Los parches de seguridad solo incluyen correcciones de errores de seguridad, no las mejoras de seguridad adicionales que se incluyen en el parche completo.

Otra información de la versión

Aunque el código de estas funciones está empaquetado con versiones trimestrales , varios de estos proyectos (por ejemplo, Progressive Web Application (PWA) Studio) también se publican de forma independiente. Las correcciones de errores para estos proyectos se documentan en la información de versión independiente y específica del proyecto que está disponible en la documentación de cada proyecto.

Características destacadas

Busque los siguientes aspectos destacados en esta versión.

Mejoras sustanciales de seguridad

Esta versión incluye más de 35 correcciones de seguridad y mejoras de seguridad de la plataforma. Todas las correcciones de seguridad se han adaptado a 2.4.1-p1 y 2.3.6-p1.

Más de 35 mejoras de seguridad que ayudan a cerrar las vulnerabilidades de ejecución de código remoto (RCE) y ejecución de scripts en sitios múltiples (XSS)

Hasta la fecha no se han producido ataques confirmados relacionados con estos problemas. Sin embargo, es posible que se aprovechen ciertas vulnerabilidades para acceder a la información de los clientes o hacerse cargo de las sesiones de administrador. La mayoría de estos problemas requieren que un atacante obtenga acceso primero al administrador. Como resultado, le recordamos que tome todas las medidas necesarias para proteger a su administrador, entre las que se incluyen, entre otras, las siguientes: inclusión en la lista de permitidos de IP, autenticación de doble factor, uso de una VPN, uso de una ubicación única en lugar de /admin y buena higiene de la contraseña. Consulte Boletín de seguridad del Adobe para ver una discusión de estos problemas corregidos.

Mejoras de seguridad adicionales

Las mejoras de seguridad para esta versión incluyen:

  • Todas las cookies principales ahora admiten el atributo SameSite.

  • La aplicación ahora muestra mensajes que identifican contenido potencialmente malicioso en los campos de descripción de productos y categorías cuando el usuario intenta guardar valores en estos campos.

  • Las operaciones del sistema de archivos en todos los componentes se han estandarizado y reforzado para evitar cargas malintencionadas.

  • Se han corregido las infracciones de la Política de seguridad de contenido principal (CSP).

NOTA
A partir de la versión 2.3.2 de, asignaremos y publicaremos números de Vulnerabilidades comunes y exposiciones (CVE) indexados con cada error de seguridad que nos comuniquen partes externas. Esto permite a los usuarios identificar con mayor facilidad las vulnerabilidades sin solucionar en su implementación. Puede obtener más información sobre los identificadores CVE en CVE.

Mejoras de infraestructura

Esta versión incluye mejoras en la calidad principal, que mejoran la calidad del marco de trabajo y estas áreas funcionales: Cuenta de cliente, Catálogo, CMS, OMS, Importar/Exportar, Promociones y objetivos, y Carro y cierre de compra.

Mejoras de Platform

  • Ahora se admite el Elasticsearch 7.9.x. Aunque se recomienda ejecutar el Elasticsearch 7.9.x, la versión 2.4.x sigue siendo compatible con el Elasticsearch 7.4.x.

  • 2.4.2 se ha probado con Varnish 6.4. La versión 2.4.x sigue siendo compatible con Varnish 6.x.

  • Ahora se admite Redis 6.x. La versión 2.4.x sigue siendo compatible con Redis 5.x.

  • 2.4.2 ahora es compatible con Composer 2.x. Recomendamos a los comerciantes migrar a Composer 2.x. Aunque puede instalar esta versión con Composer 1.x, Composer 1.x llegará pronto al final de su vida útil. Para obtener información general sobre las características de Composer 2.x, consulte Composer 2.0 ya está disponible.

La capacidad de configurar una instalación para utilizar una base de datos dividida ha quedado obsoleta en esta versión. Los comerciantes que actualmente utilizan bases de datos divididas deben empezar a planificar la reversión a una sola base de datos o la migración a ella, o utilizar un método alternativo. Consulte la Desaprobación de la funcionalidad de la base de datos dividida en la publicación de DevBlog del Magento Open Source para ver una descripción general de este problema. Consulte Revertir de una base de datos dividida a una sola base de datos para obtener instrucciones de migración.