Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-40
Le 17 juillet 2024, nous avons publié un hotfix en plus de la mise à jour de sécurité du 11 juin 2024 et/ou du correctif isolé publié le 28 juin 2024.
Vérifiez tous les environnements de production et autres pour vous assurer que votre magasin est entièrement corrigé sur toutes les instances. Veuillez prendre une action immédiate pour résoudre la vulnérabilité.
1. Assurez-vous que vous utilisez la dernière version de ECE Tools. Si ce n’est pas le cas, effectuez une mise à niveau (ou passez à l’élément 2). Pour vérifier votre version existante, exécutez la commande suivante :
composer show magento/ece-tools2. Si vous utilisez déjà la dernière version de ECE Tools, vérifiez la présence du fichier
op-exclude.txt. Pour ce faire, exécutez la commande suivante :ls op-exclude.txt. Si ce fichier n’est pas présent, ajoutez https://github.com/magento/magento-cloud/blob/master/op-exclude.txt à votre référentiel, puis validez la modification et redéployez.3. Sans avoir à effectuer la mise à niveau ECE Tools, vous pouvez également ajouter/modifier https://github.com/magento/magento-cloud/blob/master/op-exclude.txt dans votre référentiel, puis valider la modification et redéployer.
Option 1 - Pour les commerçants qui ont not appliqué la mise à jour de sécurité à partir du 11 juin 2024, ni le correctif isolé publié le 28 juin 2024
- Appliquez hotfix publié le 17 juillet 2024.
- Appliquez le correctif de sécurité.
- Activez maintenance mode.
- Désactivez l'exécution de cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Faire pivoter votre encryption keys.
- Videz le cache.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez maintenance mode.
OU
- Appliquez le correctif isolé. REMARQUE : Cette version du correctif isolé contient le 17 juillet 2024, hotfix à l’intérieur.
- Activez maintenance mode.
- Désactivez l'exécution de cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Faire pivoter votre encryption keys.
- Videz le cache.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez maintenance mode.
Option 2 - Pour les commerçants qui ont déjà appliqué la mise à jour de sécurité à partir du 11 juin 2024 et/ou le correctif isolé publié le 28 juin 2024
- Appliquez hotfix publié le 17 juillet 2024.
- Activez maintenance mode.
- Désactivez l'exécution de cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Faire pivoter votre encryption keys.
- Videz le cache.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez maintenance mode.
Option 3 - Pour les commerçants qui ont déjà (1) appliqué la mise à jour de sécurité à partir du 11 juin 2024 et/ou (2) le correctif isolé publié le 28 juin 2024 et (3) fait pivoter vos clés de chiffrement
- Appliquez le correctif publié le 17 juillet 2024.
1. Activez maintenance mode.
2. Désactivez l'exécution de cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable).3. Rotation de votre encryption keys.
4. Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable).5. Désactivez maintenance mode.
Dans cet article, vous trouverez comment mettre en oeuvre le correctif isolé pour ce problème pour les versions actuelles et antérieures d’Adobe Commerce et de Magento Open Source.
REMARQUE : Cette version du correctif isolé contient le 17 juillet 2024, hotfix à l’intérieur.
Produits et versions concernés
Adobe Commerce on Cloud, Adobe Commerce on-premise et Magento Open Source :
- 2.4.7 et versions antérieures
- 2.4.6-p5 et versions antérieures
- 2.4.5-p7 et versions antérieures
- 2.4.4-p8 et versions antérieures
Solution pour Adobe Commerce on Cloud, le logiciel Adobe Commerce on-premise et le Magento Open Source
Pour résoudre la vulnérabilité des produits et versions concernés, vous devez appliquer le correctif VULN-27015 (selon votre version) et faire pivoter votre encryption keys.
Détails du correctif hotfix
- Téléchargez le fichier Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
Détails du correctif isolé
REMARQUE : Cette version du correctif isolé contient le 17 juillet 2024, hotfix à l’intérieur.
Utilisez les correctifs ci-joint suivants, en fonction de votre version d’Adobe Commerce/de Magento Open Source :
Pour la version 2.4.7 :
Pour les versions 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5 :
Pour les versions 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7 :
Pour les versions 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8 :
Comment appliquer le correctif isolé et le hotfix
Décompressez le fichier et reportez-vous à la section Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances de support pour obtenir des instructions.
Pour les marchands Adobe Commerce on Cloud uniquement : comment déterminer si les correctifs isolés ont été appliqués
Étant donné qu'il n'est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif isolé VULN-27015 a bien été appliqué.
Pour ce faire, procédez comme suit en utilisant le fichier VULN-27015-2.4.7_COMPOSER.patch comme exemple :
-
Exécutez la commande :
-
Vous devriez voir une sortie similaire à celle-ci, où VULN-27015 renvoie l’état Appliqué :
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Faire pivoter/modifier le encryption key après avoir appliqué le correctif
- Pour plus d'informations sur la façon de faire pivoter/modifier le encryption key après l'application du correctif, reportez-vous au guide des systèmes d'administration : Encryption key dans la documentation du guide des systèmes d'administration Commerce.
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :