Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-40
Remarque : **Il s’agit d’une mise à jour urgente liée à CVE-2024-34102. Adobe sait que CVE-2024-34102 a été exploité dans la nature dans des attaques très limitées ciblant des commerçants Adobe Commerce.
Le 17 juillet 2024, nous avons publié un correctif en plus de la mise à jour de sécurité publiée le 11 juin 2024 et/ou du correctif isolé publié le 28 juin 2024.
Veuillez vérifier tous les environnements de production et hors production pour vous assurer que votre magasin dispose de tous les correctifs nécessaires sur toutes les instances. Veuillez prendre des mesures immédiates pour résoudre la vulnérabilité.
Remarque : pour Adobe Commerce sur les commerçants cloud uniquement :
- Assurez-vous d'être sur la dernière version des outils de la CEE. Si ce n’est pas le cas, effectuez une mise à niveau (ou passez à l’élément 2). Pour vérifier votre version existante, exécutez la commande suivante :
composer show magento/ece-tools - Si vous êtes déjà sur la dernière version de ECE Tools, vérifiez la présence du fichier
op-exclude.txt. Pour ce faire, exécutez la commande suivante :ls op-exclude.txt. Si ce fichier n’est pas présent, ajoutez https://github.com/magento/magento-cloud/blob/master/op-exclude.txt à votre référentiel, puis validez la modification et redéployez. - Sans avoir à mettre à niveau les outils ECE, vous pouvez également simplement ajouter/modifier https://github.com/magento/magento-cloud/blob/master/op-exclude.txt dans votre référentiel, puis valider le changement et redéployer.
Option 1 - Pour les commerçants qui n’ont pas appliqué la mise à jour de sécurité du 11 juin 2024, ni le correctif isolé publié le 28 juin 2024
- Appliquez le correctif logiciel publié le 17 juillet 2024.
- Appliquez le correctif de sécurité.
- Activez le mode de maintenance.
- Désactivez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Rotation des clés de chiffrement.
- Videz le cache.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez le mode de maintenance.
OU
- Appliquez le patch isolé. Remarque : cette version du correctif isolé contient le correctif logiciel du 17 juillet 2024.
- Activez le mode de maintenance.
- Désactivez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Rotation des clés de chiffrement.
- Videz le cache.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez le mode de maintenance.
Option 2 - Pour les commerçants qui ont déjà appliqué la mise à jour de sécurité du 11 juin 2024 et/ou le correctif isolé publié le 28 juin 2024
- Appliquez le correctif logiciel publié le 17 juillet 2024.
- Activez le mode de maintenance.
- Désactivez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Rotation des clés de chiffrement.
- Videz le cache.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez le mode de maintenance.
Option 3 - Pour les commerçants qui ont déjà (1) appliqué la mise à jour de sécurité du 11 juin 2024 et/ou (2) le correctif isolé publié le 28 juin 2024, et (3) fait pivoter vos clés de chiffrement
- Appliquez le correctif publié le 17 juillet 2024.
Remarque : pour garantir votre sécurité après la mise à niveau, vous devez également faire pivoter vos clés de chiffrement :
- Activez le mode de maintenance.
- Désactivez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:disable). - Faites pivoter vos clés de chiffrement.
- Activez l’exécution cron (commande Commerce on Cloud :
vendor/bin/ece-tools cron:enable). - Désactivez le mode de maintenance.
Dans cet article, vous trouverez comment implémenter le correctif isolé pour ce problème pour les versions actuelles et antérieures d’Adobe Commerce et de Magento Open Source.
Remarque : cette version du correctif isolé contient le correctif logiciel du 17 juillet 2024.
Description description
Produits et versions concernés
Adobe Commerce on Cloud, Adobe Commerce on-premise et Magento Open Source :
- 2.4.7-p1 et versions antérieures
- 2.4.6-p6 et versions antérieures
- 2.4.5-p8 et versions antérieures
- 2.4.4-p9 et versions antérieures
Résolution resolution
Solution pour Adobe Commerce on Cloud, logiciel Adobe Commerce on-premise et Magento Open Source
Pour aider à résoudre la vulnérabilité des produits et versions affectés, vous devez appliquer le correctif VULN-27015 (en fonction de votre version) et faire pivoter vos clés de chiffrement.
Détails du correctif
- Téléchargez le correctif AC-12485_Hotfix_COMPOSER_patch.zip
Détails du correctif isolé
Remarque : cette version du correctif isolé contient le correctif logiciel du 17 juillet 2024.
Utilisez les correctifs ci-joints, en fonction de votre version d’Adobe Commerce/Magento Open Source :
Pour la version 2.4.7 :
Pour les versions 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5 :
Pour les versions 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7 :
Pour les versions 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8 :
Application du correctif isolé et du correctif
Décompressez le fichier et consultez Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances d’assistance pour obtenir des instructions.
Pour Adobe Commerce sur les commerçants Cloud uniquement : comment déterminer si les correctifs isolés ont été appliqués
Étant donné qu’il n’est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif isolé VULN-27015 a bien été appliqué.
Pour ce faire, procédez comme suit, en prenant l’VULN-27015-2.4.7_COMPOSER.patch de fichier comme exemple :
-
Installez l’outil Correctifs de qualité.
-
Exécutez la commande :
vendor/bin/magento-patches -n status |grep "27015\|Status" -
Vous devriez voir une sortie similaire à celle-ci, où VULN-27015 renvoie la valeur Statut Appliqué :
table 0-row-6 1-row-6 Identifiant Titre Catégorie Origin Statut Détails S/O …/m2-hotfix/VULN-27015-2.4.7_COMPOSER_patch.patch Autres frais Local Appliqué Type de correctif : personnalisé
Faire pivoter/modifier la clé de chiffrement après l’application du correctif
Pour obtenir des conseils sur la rotation/modification de la clé de chiffrement après l’application du correctif, reportez-vous à Guide des systèmes d’administration : clé de chiffrement dans la documentation du Guide des systèmes d’administration Commerce .
Conseils supplémentaires sur la sécurisation de votre magasin et la rotation des clés de chiffrement
Pour plus d’informations sur la sécurisation de votre boutique et la rotation des clés de chiffrement concernant CVE-2024-34102, voir Conseils sur la sécurisation de votre boutique et la rotation des clés de chiffrement : CVE-2024-34102, également dans la base de connaissances Adobe Commerce.
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :
Lecture connexe
Activation ou désactivation du mode de maintenance dans le Guide d’installation d’Adobe Commerce