Vulnérabilités d’Adobe Commerce Recommendations pour PHP

Le 3 septembre, le Multi-State Information Sharing and Analysis Center (MS-ISAC) a publié une alerte relative à plusieurs vulnérabilités qui pourraient permettre l’exécution arbitraire de code et une recommandation que tous les sites utilisant PHP doivent mettre à jour vers la dernière version de PHP ASAP (alerte complète disponible ici).

WARNING
Sur Adobe Commerce sur l’infrastructure cloud, notez que les mises à niveau de service ne peuvent pas être transférées vers l’environnement de production sans préavis de 48 heures ouvrables à notre équipe d’infrastructure. Cela est nécessaire, car nous devons nous assurer qu’un ingénieur du support de l’infrastructure est disponible pour mettre à jour votre configuration dans les délais voulus, avec un temps d’arrêt minimal pour votre environnement de production. 48 heures avant que vos modifications ne soient en production envoyer un ticket d’assistance détaillant la mise à niveau de service requise et indiquant l’heure à laquelle le processus de mise à niveau doit commencer.

Lisez la suite pour connaître les impacts et les étapes des sites Adobe Commerce :

Adobe Commerce hébergée sur notre produit Cloud

Si vous utilisez Adobe Commerce sur l’infrastructure cloud, veuillez travailler avec votre équipe technologique pour redéployer Adobe Commerce à tout moment* afin de tirer parti de la mise à jour. Nous recommandons aux commerçants d’effectuer ce redéploiement d’ici le 30 septembre afin d’éviter les problèmes de conformité PCI qui peuvent entrer en vigueur en raison de ces vulnérabilités à la fin du mois.

Remarques supplémentaires sur le redéploiement de votre site Cloud pour cette mise à jour :

  • Si votre site utilise toujours la version 7.0 de PHP, vous devrez d’abord effectuer une mise à niveau vers une version de PHP prise en charge avant de procéder au redéploiement afin de tirer parti de ces mises à jour de sécurité.
  • Pour 2.1.x/2.2.x, plus d’informations sur la mise à niveau de PHP sont disponibles. here.

* Les versions précédentes de cet article et de notre message ont été publiées le 19 septembre, mais nos équipes ont terminé leur travail en avance sur le calendrier.

Adobe Commerce sur toutes les autres solutions d’hébergement

Comme Adobe Commerce repose sur PHP, nous recommandons à tous les commerçants utilisant Adobe Commerce de passer en revue les mises à jour nécessaires pour le PHP avec leur fournisseur d’hébergement. Nous recommandons également aux commerçants de terminer cette révision et toute mise à jour d’ici le 30 septembre afin d’éviter les problèmes de conformité PCI qui peuvent entrer en vigueur en raison de ces vulnérabilités à la fin du mois.

Notez quelques détails supplémentaires pour Adobe Commerce sur les autres solutions d’hébergement :

  • Les versions 2.0 ou 1.x d'Adobe Commerce qui utilisent des versions PHP antérieures à la version 7.1 ou ultérieure n'ont pas de correctif PHP officiel disponible. Le chemin recommandé est de mettre à niveau PHP vers une version PHP prise en charge.

Selon l'alerte, les correctifs recommandés pour cette vulnérabilité incluent :

Si vous souhaitez plus d’informations sur PHP et les versions récentes, vous pouvez vous rendre sur la page site PHP. Si vous avez des questions ou souhaitez plus d’informations sur les bonnes pratiques en matière de sécurité, consultez notre Guide des bonnes pratiques de sécurité.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a