Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.3
Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :
- Correctifs de sécurité
- Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
- Problèmes connus
- Instructions pour appliquer des correctifs supplémentaires si nécessaire
- Informations sur tous les correctifs inclus dans la version
En savoir plus sur les versions de correctif de sécurité :
- Présentation des versions de correctif de sécurité d’Adobe Commerce
- Les instructions de téléchargement et d’application des mises à jour des correctifs de sécurité sont disponibles dans le Guide de mise à niveau
Adobe Commerce 2.4.3-p3
La version de sécurité de Adobe Commerce 2.4.3-p3 fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.3. Cette version inclut également des améliorations de sécurité qui améliorent la conformité aux dernières meilleures pratiques de sécurité.
Pour obtenir les dernières informations sur les correctifs de bogues de sécurité, consultez Adobe Bulletin de sécurité APSB22-38.
Postulez AC-3022.patch pour continuer à offrir DHL en tant que transporteur maritime
DHL a introduit la version 6.2 du schéma et désapprouvera la version 6.0 du schéma dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Mise en évidence de la sécurité
- Des ressources ACL ont été ajoutées à l’inventaire.
- La sécurité des modèles d’inventaire a été améliorée.
Adobe Commerce 2.4.3-p2
La version de sécurité de Adobe Commerce 2.4.3-p2 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version inclut également des améliorations de sécurité qui améliorent la conformité aux dernières meilleures pratiques de sécurité.
Pour obtenir les dernières informations sur les correctifs de bogues de sécurité, consultez Adobe Bulletin de sécurité APSB22-13. La version de correctif résout également la vulnérabilité corrigée par MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip,MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch et MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.
Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Mise en évidence de la sécurité
-
L’utilisation des variables de messagerie a été abandonnée dans la version 2.3.4 dans le cadre d’une limitation des risques de sécurité au profit d’une syntaxe de variable plus stricte. Ce comportement hérité a été complètement supprimé dans cette version en tant que prolongement de cette limitation des risques de sécurité.
Par conséquent, les modèles de courrier électronique ou de newsletter qui fonctionnaient dans les versions précédentes peuvent ne pas fonctionner correctement après la mise à niveau vers Adobe Commerce 2.4.3-p2. Les modèles concernés incluent des remplacements d’administrateur, des thèmes, des thèmes enfants et des modèles provenant de modules personnalisés ou d’extensions tierces. Votre déploiement peut toujours être affecté même après l’utilisation de l’outil de compatibilité de mise à niveau pour corriger les utilisations obsolètes. Pour plus d’informations sur les effets potentiels et les directives relatives à la migration des modèles concernés, voir Migration des modèles d’email personnalisés .
-
Les jetons d’accès OAuth et les jetons de réinitialisation de mot de passe sont désormais chiffrés lorsqu’ils sont stockés dans la base de données.
-
La validation a été renforcée afin d’empêcher le téléchargement d’extensions de fichiers non alphanumériques.
-
Swagger est désormais désactivé par défaut lorsque Adobe Commerce est en mode production.
-
Les développeurs peuvent désormais configurer la limite de taille des baies acceptées par les points de terminaison RESTful Adobe Commerce par point de terminaison. Voir Sécurité des API.
-
Ajout de mécanismes permettant de limiter la taille et le nombre de ressources qu’un utilisateur peut demander via une API web à l’échelle du système, ainsi que de remplacer les valeurs par défaut sur des modules individuels. Cette amélioration résout le problème résolu par
MC-43048__set_rate_limits__2.4.3.patch. Voir Sécurité de l'API.
2.4.3-p1
La version de sécurité de Adobe Commerce 2.4.3-p1 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans la version précédente (Adobe Commerce 2.4.3 et Magento Open Source 2.4.3). Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB21-86. La version de correctif fournit également des correctifs pour les extensions Braintree, Klarna et Vertex développées par des fournisseurs.
Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Correctifs
Cette version inclut le correctif suivant, ainsi que tous les correctifs qui ont été publiés pour la version précédente du correctif.
- Correctif
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Pour plus d’informations sur le correctif et le problème, reportez-vous à l’article Correctif d’erreur fatale PHP Adobe Commerce 2.4.3, 2.3.7-p1de la base de connaissances.
Mise en évidence de la sécurité
Les ID de session ont été supprimés de la base de données. Cette modification de code peut entraîner des modifications de rupture si les marchands ont des personnalisations ou des extensions installées qui utilisent les ID de session bruts stockés dans la base de données.
Accès administrateur restreint aux dossiers de la Galerie multimédia. Les autorisations par défaut de la Galerie multimédia autorisent désormais uniquement les opérations d’annuaire (affichage, téléchargement, suppression et création) autorisées explicitement par la configuration. Les utilisateurs administrateurs ne peuvent plus accéder aux ressources multimédias téléchargées en dehors des répertoires ou via la catalog/category galerie multimédia wysiwyg . Les administrateurs qui souhaitent accéder aux ressources multimédias doivent les déplacer vers un dossier explicitement autorisé ou ajuster leurs paramètres de configuration. Voir Modifier les autorisations des dossiers Bibliothèque multimédia.
Abaissement des limites à la complexité des requêtes GraphQL. La complexité de requête maximale autorisée par GraphQL a été réduite afin d’éviter les attaques par déni de service (DOS). Voir Configuration de la sécurité GraphQL.
Des vulnérabilités récentes liées aux tests de pénétration ont été corrigées dans cette version.
L’expression unsafe-inline source non prise en charge a été supprimée de la directive Content Security Policy frame-ancestors . GitHub-33101