DocumentationCommerceCommerce KB

Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-40

Last update: Fri Sep 27 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Créé pour :

  • Développeur
NOTE
**Il s’agit d’une mise à jour urgente liée à CVE-2024-34102. Adobe sait que CVE-2024-34102 a été exploité dans la nature dans des attaques très limitées ciblant des commerçants Adobe Commerce.

Le 17 juillet 2024, nous avons publié un hotfix en plus de la mise à jour de sécurité du 11 juin 2024 et/ou du correctif isolé publié le 28 juin 2024.

Vérifiez tous les environnements de production et autres pour vous assurer que votre magasin est entièrement corrigé sur toutes les instances. Veuillez prendre une action immédiate pour résoudre la vulnérabilité.

NOTE
Pour les commerçants Adobe Commerce on Cloud uniquement :

1. Assurez-vous que vous utilisez la dernière version de ECE Tools. Si ce n’est pas le cas, effectuez une mise à niveau (ou passez à l’élément 2). Pour vérifier votre version existante, exécutez la commande suivante :composer show magento/ece-tools
2. Si vous utilisez déjà la dernière version de ECE Tools, vérifiez la présence du fichier op-exclude.txt. Pour ce faire, exécutez la commande suivante :ls op-exclude.txt. Si ce fichier n’est pas présent, ajoutez https://github.com/magento/magento-cloud/blob/master/op-exclude.txt à votre référentiel, puis validez la modification et redéployez.
3. Sans avoir à effectuer la mise à niveau ECE Tools, vous pouvez également ajouter/modifier https://github.com/magento/magento-cloud/blob/master/op-exclude.txt dans votre référentiel, puis valider la modification et redéployer.

Option 1 - Pour les commerçants qui ont not appliqué la mise à jour de sécurité à partir du 11 juin 2024, ni le correctif isolé publié le 28 juin 2024

  1. Appliquez hotfix publié le 17 juillet 2024.
  2. Appliquez le correctif de sécurité.
  3. Activez maintenance mode.
  4. Désactivez l'exécution de cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:disable).
  5. Faire pivoter votre encryption keys.
  6. Videz le cache.
  7. Activez l’exécution cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:enable).
  8. Désactivez maintenance mode.

OU

  1. Appliquez le correctif isolé. REMARQUE : Cette version du correctif isolé contient le 17 juillet 2024, hotfix à l’intérieur.
  2. Activez maintenance mode.
  3. Désactivez l'exécution de cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:disable).
  4. Faire pivoter votre encryption keys.
  5. Videz le cache.
  6. Activez l’exécution cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:enable).
  7. Désactivez maintenance mode.

Option 2 - Pour les commerçants qui ont déjà appliqué la mise à jour de sécurité à partir du 11 juin 2024 et/ou le correctif isolé publié le 28 juin 2024

  1. Appliquez hotfix publié le 17 juillet 2024.
  2. Activez maintenance mode.
  3. Désactivez l'exécution de cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:disable).
  4. Faire pivoter votre encryption keys.
  5. Videz le cache.
  6. Activez l’exécution cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:enable).
  7. Désactivez maintenance mode.

Option 3 - Pour les commerçants qui ont déjà (1) appliqué la mise à jour de sécurité à partir du 11 juin 2024 et/ou (2) le correctif isolé publié le 28 juin 2024 et (3) fait pivoter vos clés de chiffrement

  • Appliquez le correctif publié le 17 juillet 2024.
NOTE
Pour vous assurer que vous êtes toujours en sécurité après la mise à niveau, vous devez également faire pivoter votre encryption keys:

1. Activez maintenance mode.
2. Désactivez l'exécution de cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:disable).
3. Rotation de votre encryption keys.
4. Activez l’exécution cron (commande Commerce on Cloud : vendor/bin/ece-tools cron:enable).
5. Désactivez maintenance mode.

Dans cet article, vous trouverez comment mettre en oeuvre le correctif isolé pour ce problème pour les versions actuelles et antérieures d’Adobe Commerce et de Magento Open Source.
REMARQUE : Cette version du correctif isolé contient le 17 juillet 2024, hotfix à l’intérieur.

Produits et versions concernés

Adobe Commerce on Cloud, Adobe Commerce on-premise et Magento Open Source :

  • 2.4.7-p1 et versions antérieures
  • 2.4.6-p6 et versions antérieures
  • 2.4.5-p8 et versions antérieures
  • 2.4.4-p9 et versions antérieures

Solution pour Adobe Commerce on Cloud, le logiciel Adobe Commerce on-premise et le Magento Open Source

Pour résoudre la vulnérabilité des produits et versions concernés, vous devez appliquer le correctif VULN-27015 (selon votre version) et faire pivoter votre encryption keys.

Détails du correctif hotfix

Détails du correctif isolé

REMARQUE : Cette version du correctif isolé contient le 17 juillet 2024, hotfix à l’intérieur.

Utilisez les correctifs ci-joint suivants, en fonction de votre version d’Adobe Commerce/de Magento Open Source :

Pour la version 2.4.7 :

Pour les versions 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5 :

Pour les versions 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7 :

Pour les versions 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8 :

Comment appliquer le correctif isolé et le hotfix

Décompressez le fichier et reportez-vous à la section Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances de support pour obtenir des instructions.

Pour les marchands Adobe Commerce on Cloud uniquement : comment déterminer si les correctifs isolés ont été appliqués

Étant donné qu'il n'est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif isolé VULN-27015 a bien été appliqué.

Pour ce faire, procédez comme suit en utilisant le fichier VULN-27015-2.4.7_COMPOSER.patch comme exemple :

  1. Installation de l’outil de correctifs de qualité.

  2. Exécutez la commande :

    cve-2024-34102-tell-if-patch-applied-code

  3. Vous devriez voir une sortie similaire à celle-ci, où VULN-27015 renvoie l’état Appliqué :

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Faire pivoter/modifier le encryption key après avoir appliqué le correctif

Pour plus d'informations sur la façon de faire pivoter/modifier le encryption key après l'application du correctif, reportez-vous au guide des systèmes d'administration : Encryption key dans la documentation du guide des systèmes d'administration Commerce.

Instructions supplémentaires sur la sécurisation de votre magasin et la rotation des clés de chiffrement

Pour plus d'informations sur la sécurisation de votre magasin et la rotation des clés de chiffrement concernant CVE-2024-34102, consultez la directive sur la sécurisation de votre magasin et la rotation des clés de chiffrement : CVE-2024-34102, également dans la base de connaissances Adobe Commerce.

Mises à jour de sécurité

Mises à jour de sécurité disponibles pour Adobe Commerce :

Lecture connexe

Activez ou désactivez maintenance mode dans le Guide d’installation d’Adobe Commerce

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a