Notas de la versión de parches de seguridad de Adobe Commerce 2.4.6
Estas notas de la versión del parche de seguridad capturan actualizaciones para mejorar la seguridad de su implementación de Adobe Commerce. La información incluye, entre otras cosas, lo siguiente:
- Correcciones de errores de seguridad
- Elementos destacados de seguridad que proporcionan más detalles sobre las mejoras y actualizaciones incluidas en el parche de seguridad
- Problemas conocidos
- Instrucciones para aplicar parches adicionales si es necesario
- Información acerca de las correcciones rápidas incluidas en la versión
Obtenga más información sobre las versiones de parches de seguridad:
Adobe Commerce 2.4.6-p6
La versión de seguridad de Adobe Commerce 2.4.6-p6 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores de 2.4.6.
Para obtener la información más reciente sobre las correcciones de errores de seguridad, consulte Boletín de Seguridad del Adobe APSB24-40.
Mejoras de seguridad adicionales
Hasta la fecha no se han producido ataques confirmados relacionados con estos problemas. Sin embargo, es posible que se aprovechen ciertas vulnerabilidades para acceder a la información de los clientes o hacerse cargo de las sesiones de administrador. La mayoría de estos problemas requieren que un atacante obtenga acceso primero al administrador. Como resultado, le recordamos que tome todas las medidas necesarias para proteger a su administrador, incluidas, entre otras, las siguientes:
- INCLUSIÓN EN LA LISTA DE PERMITIDOS IP
- Autenticación de doble factor
- Uso de una VPN
- Uso de una ubicación única en lugar de
/admin
- Buena higiene de las contraseñas
Las mejoras de seguridad para esta versión mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.
-
Cambios en el comportamiento de las claves de caché no generadas:
- Las claves de caché no generadas para bloques ahora incluyen prefijos que difieren de los prefijos para las claves generadas automáticamente. (Las claves de caché no generadas son claves que se establecen mediante sintaxis de directiva de plantilla o la variable
setCacheKey
osetData
métodos.) - Las claves de caché no generadas para bloques ahora solo deben contener letras, dígitos, guiones (-) y caracteres de subrayado (_).
- Las claves de caché no generadas para bloques ahora incluyen prefijos que difieren de los prefijos para las claves generadas automáticamente. (Las claves de caché no generadas son claves que se establecen mediante sintaxis de directiva de plantilla o la variable
-
Limitaciones en el número de códigos de cupones generados automáticamente. Commerce ahora limita el número de códigos de cupones que se generan automáticamente. El máximo predeterminado es 250 000. Los comerciantes pueden utilizar el nuevo Code Quantity Limit opción de configuración (Stores > Settings:Configuration > Customers > Promotions) para evitar que el sistema se vea abrumado con muchos cupones.
-
Optimización del proceso predeterminado de generación de URL de administración. La generación de la URL de administración predeterminada está optimizada para aumentar la aleatoriedad, lo que hace que las URL generadas sean menos predecibles.
-
Se agregó compatibilidad con Integridad de los subrecursos (SRI) cumplir con los requisitos de PCI 4.0 para la verificación de la integridad de las secuencias de comandos en las páginas de pago. La compatibilidad con la Integridad de los subrecursos (SRI) proporciona hashes de integridad para todos los recursos JavaScript que residen en el sistema de archivos local. La función SRI predeterminada solo se implementa en las páginas de pago de las áreas de administración y tienda. Sin embargo, los comerciantes pueden ampliar la configuración predeterminada a otras páginas. Consulte Integridad de subrecursos en el Guía para desarrolladores de Commerce PHP.
-
Cambios en la Política de seguridad de contenido (CSP): actualizaciones y mejoras de configuración de las Políticas de seguridad de contenido (CSP) de Adobe Commerce para cumplir con los requisitos de PCI 4.0. Para obtener más información, consulte Políticas de seguridad de contenido en el Guía para desarrolladores de Commerce PHP.
-
La configuración predeterminada CSP para páginas de pago para áreas de administración y tienda de Commerce es ahora
restrict
modo. Para las demás páginas, la configuración predeterminada esreport-only
modo. En las versiones anteriores a 2.4.7, el CSP se configuraba enreport-only
modo para todas las páginas. -
Se ha agregado un proveedor nonce para permitir la ejecución de scripts en línea en un CSP. El proveedor nonce facilita la generación de cadenas nonce únicas para cada solicitud. A continuación, las cadenas se adjuntan al encabezado CSP.
-
Se han añadido opciones para configurar URI personalizados para que informen de infracciones de CSP en la página Crear pedido de la página Administrador y Cierre de compra de la tienda. Puede agregar la configuración desde el Administrador o agregando el URI al
config.xml
archivo.note note NOTE Actualizar la configuración de CSP a restrict
Este modo podría bloquear los scripts en línea existentes en las páginas de pago de la administración y de la tienda, lo que provoca el siguiente error en el explorador cuando se carga una página:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Corrija estos errores actualizando la configuración de la lista blanca para permitir los scripts necesarios. Consulte Solución de problemas en el Guía para desarrolladores de Commerce PHP.
-
-
Una nueva configuración de caché de página completa puede ayudar a mitigar los riesgos asociados con el protocolo HTTP
{BASE-URL}/page_cache/block/esi
punto final. Este extremo admite fragmentos de contenido cargados dinámicamente y sin restricciones desde controladores de diseño y estructuras de bloque de Commerce. El nuevo Handles params size La configuración de establece el valor del punto de conexiónhandles
, que determina el número máximo permitido de identificadores por API. El valor predeterminado de esta propiedad es 100. Los comerciantes pueden cambiar este valor desde el Administrador (Stores > Settings:Configuration > System > Full Page Cache > Handles params size). Consulte Configuración de la aplicación de Commerce para que utilice Barniz. -
Limitación de velocidad nativa para la información de pago transmitida a través de las API de REST y GraphQL. Los comerciantes ahora pueden configurar limitación de velocidad para la información de pago transmitida mediante REST y GraphQL. Esta capa adicional de protección apoya la prevención de ataques de tarjeta y potencialmente disminuye el volumen de ataques de tarjeta que prueban muchos números de tarjeta de crédito a la vez. Se trata de un cambio en el comportamiento predeterminado de un extremo REST existente. Consulte Limitación de velocidad.
-
El comportamiento predeterminado del isEmailAvailable GraphQL query y el (V1/customers/isEmailAvailable) El extremo REST ha cambiado. De forma predeterminada, las API ahora siempre devuelven
true
. Los comerciantes pueden activar el comportamiento original configurando la variable Habilitar cierre de compra de invitados en la opción Administrador parayes
, pero hacerlo puede exponer la información del cliente a usuarios no autenticados.
Adobe Commerce 2.4.6-p5
La versión de seguridad de Adobe Commerce 2.4.6-p5 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores de 2.4.6.
Para obtener la información más reciente sobre estas correcciones, consulte Boletín de Seguridad del Adobe APSB24-18.
Adobe Commerce 2.4.6-p4
La versión de seguridad de Adobe Commerce 2.4.6-p4 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad que mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre las correcciones de errores de seguridad, consulte Boletín de Seguridad del Adobe APSB24-03.
Aspectos destacados de seguridad
Esta versión incorpora dos mejoras de seguridad significativas:
-
Cambios en el comportamiento de las claves de caché no generadas:
- Las claves de caché no generadas para bloques ahora incluyen prefijos que difieren de los prefijos para las claves generadas automáticamente. (Las claves de caché no generadas son claves que se establecen mediante sintaxis de directiva de plantilla o la variable
setCacheKey
osetData
métodos.) - Las claves de caché no generadas para bloques ahora solo deben contener letras, dígitos, guiones (-) y caracteres de subrayado (_).
- Las claves de caché no generadas para bloques ahora incluyen prefijos que difieren de los prefijos para las claves generadas automáticamente. (Las claves de caché no generadas son claves que se establecen mediante sintaxis de directiva de plantilla o la variable
-
Limitaciones en el número de códigos de cupones generados automáticamente. Commerce ahora limita el número de códigos de cupones que se generan automáticamente. El máximo predeterminado es 250 000. Los comerciantes pueden utilizar el nuevo Code Quantity Limit opción de configuración (Stores > Settings:Configuration > Customers > Promotions) para controlar este nuevo límite.
Adobe Commerce 2.4.6-p3
La versión de seguridad de Adobe Commerce 2.4.6-p3 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad para mejorar el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre las correcciones de seguridad, consulte Boletín de Seguridad del Adobe APSB23-50.
Aspectos destacados de seguridad
Esta versión introduce una nueva configuración de caché de página completa que ayuda a mitigar los riesgos asociados con el {BASE-URL}/page_cache/block/esi HTTP
punto final. Este extremo admite fragmentos de contenido cargados dinámicamente y sin restricciones desde controladores de diseño y estructuras de bloque de Commerce. El nuevo Handles Param La configuración de establece el valor del punto de conexión handles
, que determina el número máximo permitido de identificadores por API. El valor predeterminado de esta propiedad es 100. Los comerciantes pueden cambiar este valor desde el Administrador (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.
Revisiones incluidas en esta versión
Adobe Commerce 2.4.6-p3 incluye la resolución de la degradación del rendimiento corregida por el parche ACSD-51892. Los comerciantes no se ven afectados por el problema que resuelve este parche, que se describe en la sección ACSD-51892: Problema de rendimiento donde los archivos de configuración se cargan varias veces Artículo de la Base de conocimiento.
Problema conocido
Problema: Adobe Commerce muestra un wrong checksum
error durante la descarga por Compositor desde repo.magento.com
y se interrumpe la descarga del paquete. Este problema puede ocurrir durante la descarga de los paquetes de versiones disponibles durante el periodo de prelanzamiento y se debe a un reempaquetado del magento/module-page-cache
paquete.
Solución: Los comerciantes que ven este error durante la descarga pueden seguir estos pasos:
- Elimine el
/vendor
dentro del proyecto, si existe. - Ejecute el
bin/magento composer update magento/module-page-cache
comando. Este comando actualiza solo la variablepage cache
paquete.
Si el problema de la suma de comprobación persiste, elimine la composer.lock
antes de volver a ejecutar el bin/magento composer update
para actualizar cada paquete.
2.4.6-p2
La versión de seguridad de Adobe Commerce 2.4.6-p2 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad para mejorar el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre las correcciones de errores de seguridad, consulte Boletín de Seguridad del Adobe APSB23-42.
Aplicar parche para resolver la vulnerabilidad de seguridad CVE-2022-31160 en la biblioteca jQuery-UI
jQuery-UI
La versión 1.13.1 de la biblioteca de tiene una vulnerabilidad de seguridad conocida (CVE-2022-31160) que afecta a varias versiones de Adobe Commerce y Magento Open Source. Esta biblioteca es una dependencia de Adobe Commerce y de los Magento Open Source 2.4.4, 2.4.5 y 2.4.6. Los comerciantes que ejecuten implementaciones afectadas deben aplicar el parche especificado en la Vulnerabilidad de seguridad de la IU de jQuery CVE-2022-31160 corregida para las versiones 2.4.4, 2.4.5 y 2.4.6 Artículo de la Base de conocimiento.
Aspecto destacado de seguridad
El valor de fastcgi_pass
en el nginx.sample
se ha devuelto a su valor anterior (anterior a 2.4.6-p1) de fastcgi_backend
. Este valor se ha cambiado por error a php-fpm:9000
en Adobe Commerce 2.4.6-p1.
Revisiones incluidas en esta versión
Adobe Commerce 2.4.6-p2 incluye la resolución de la degradación del rendimiento a la que se dirigió el parche ACSD-51892. Los comerciantes no se ven afectados por el problema que resuelve este parche, que se describe en la sección ACSD-51892: Problema de rendimiento donde los archivos de configuración se cargan varias veces Artículo de la Base de conocimiento.
Adobe Commerce 2.4.6-p1
La versión de seguridad de Adobe Commerce 2.4.6-p1 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad y actualizaciones de la plataforma para mejorar el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre las correcciones de errores de seguridad, consulte Boletín de Seguridad del Adobe APSB23-35.
Aplicar parche para resolver la vulnerabilidad de seguridad CVE-2022-31160 en la biblioteca jQuery-UI
jQuery-UI
La versión 1.13.1 de la biblioteca de tiene una vulnerabilidad de seguridad conocida (CVE-2022-31160) que afecta a varias versiones de Adobe Commerce y Magento Open Source. Esta biblioteca es una dependencia de Adobe Commerce y de los Magento Open Source 2.4.4, 2.4.5 y 2.4.6. Los comerciantes que ejecuten implementaciones afectadas deben aplicar el parche especificado en la Vulnerabilidad de seguridad de la IU de consulta CVE-2022-31160 para las versiones 2.4.4, 2.4.5 y 2.4.6 Artículo de la Base de conocimiento.
Aspecto destacado de seguridad
El comportamiento predeterminado del isEmailAvailable
GraphQL query y (V1/customers/isEmailAvailable
) El extremo REST ha cambiado. De forma predeterminada, la API ahora siempre devuelve true
. Los comerciantes pueden activar el comportamiento original, que es devolver true
si el correo electrónico no existe en la base de datos y false
si existe.
Actualizaciones de plataforma
Las actualizaciones de plataforma para esta versión mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.
-
Compatibilidad con caché de barniz 7.3. Esta versión es compatible con la última versión de Varnish Cache 7.3. La compatibilidad se mantiene con las versiones 6.0.x y 7.2.x, pero el Adobe recomendado con Adobe Commerce 2.4.6-p1 solo con Varnish Cache versión 7.3 o versión 6.0 LTS.
-
Compatibilidad con RabbitMQ 3.11. Esta versión es compatible con la última versión de RabbitMQ 3.11. La compatibilidad sigue siendo con RabbitMQ 3.9, que es compatible hasta agosto de 2023, pero el Adobe recomendado usar Adobe Commerce 2.4.6-p1 solo con RabbitMQ 3.11.
-
Bibliotecas de JavaScript. Las bibliotecas de JavaScript obsoletas se han actualizado a las últimas versiones secundarias o de parches, que incluyen
moment.js
biblioteca (v2.29.4),jQuery UI
biblioteca (v1.13.2) yjQuery
biblioteca de complementos de validación (versión 1.19.5).
Problemas conocidos
-
El
nginx.sample
se ha actualizado de forma involuntaria con un cambio que modifica el valor defastcgi_pass
defastcgi_backend
hastaphp-fpm:9000
. Este cambio se puede revertir o ignorar de forma segura. -
La falta de dependencias para el paquete de seguridad B2B provoca el siguiente error de instalación al instalar o actualizar la extensión B2B a 1.4.0.
code language-terminal Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.
Este problema se puede resolver añadiendo dependencias manuales para el paquete de seguridad B2B con un etiqueta de estabilidad. Para obtener más información, consulte la Notas de la versión B2B.