Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.4

Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :

  • Correctifs de sécurité
  • Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
  • Problèmes connus
  • Instructions pour appliquer des correctifs supplémentaires si nécessaire
  • Informations sur tous les correctifs inclus dans la version

En savoir plus sur les versions de correctif de sécurité :

Adobe Commerce 2.4.4-p9

La version de sécurité Adobe Commerce 2.4.4-p9 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.4.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB24-40.

Mises à niveau de la plateforme

  • Prise en charge de MariaDB 10.5. Ce correctif introduit la compatibilité avec MariaDB version 10.5. Adobe Commerce est toujours compatible avec la version 10.4 de MariaDB, mais Adobe recommande d’utiliser Adobe Commerce 2.4.4-p9 et toutes les prochaines versions de correctifs uniquement avec la version 10.5 de MariaDB, car la maintenance de MariaDB 10.4 se termine le 18 juin 2024.

Améliorations supplémentaires de la sécurité

Aucune attaque confirmée liée à ces problèmes n'a été survenue à ce jour. Cependant, certaines vulnérabilités peuvent être exploitées pour accéder aux informations sur les clients ou prendre le contrôle des sessions d’administrateur. La plupart de ces problèmes nécessitent qu’un attaquant obtienne d’abord l’accès à l’administrateur. Par conséquent, nous vous rappelons de prendre toutes les mesures nécessaires pour protéger votre administrateur, y compris, mais sans s’y limiter, les actions suivantes :

  • PLACE SUR LA LISTE AUTORISÉE IP
  • Authentification à deux facteurs
  • Utilisation d'un VPN
  • Utilisation d’un emplacement unique plutôt que /admin
  • Bonne hygiène des mots de passe

Les améliorations de sécurité de cette version améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

  • Modifications du comportement des clés de cache non générées:

    • Les clés de cache non générées pour les blocs incluent désormais des préfixes différents des préfixes pour les clés générées automatiquement. (Les clés de cache non générées sont des clés définies par le biais de la syntaxe de directive de modèle ou de la fonction setCacheKey ou setData méthodes.)
    • Les clés de cache non générées pour les blocs ne doivent désormais contenir que des lettres, des chiffres, des tirets (-) et des traits de soulignement (_).
  • Limites du nombre de codes de bon générés automatiquement. Commerce limite désormais le nombre de codes de bon générés automatiquement. La valeur par défaut maximale est de 250 000. Les vendeurs peuvent utiliser la nouvelle Code Quantity Limit option de configuration (Stores > Settings:Configuration > Customers > Promotions) pour éviter toute surcharge potentielle du système avec de nombreux coupons.

  • Optimisation du processus de génération d’URL d’administration par défaut. La génération de l’URL d’administration par défaut est optimisée pour une répartition aléatoire accrue, ce qui rend les URL générées moins prévisibles.

  • Ajout de la prise en charge de l’intégrité des sous-ressources (SRI) pour se conformer aux exigences PCI 4.0 de vérification de l’intégrité du script sur les pages de paiement. La prise en charge de l’intégrité des sous-ressources (SRI) fournit des hachages d’intégrité pour toutes les ressources JavaScript résidant dans le système de fichiers local. La fonctionnalité de SRI par défaut est implémentée uniquement sur les pages de paiement pour les zones d’administration et de storefront. Cependant, les marchands peuvent étendre la configuration par défaut à d’autres pages. Voir Intégrité des sous-ressources dans le Guide du développeur PHP de Commerce.

  • Modifications apportées à la stratégie de sécurité du contenu (CSP): mises à jour et améliorations de la configuration des stratégies de sécurité du contenu (CSP) Adobe Commerce pour se conformer aux exigences PCI 4.0. Pour plus d’informations, voir Stratégies de sécurité du contenu dans le Guide du développeur PHP de Commerce.

    • La configuration par défaut de la CSP pour les pages de paiement pour l’administrateur Commerce et les zones de storefront est désormais restrict mode . Pour toutes les autres pages, la configuration par défaut est report-only mode . Dans les versions antérieures à la version 2.4.7, la stratégie de sécurité du contenu a été configurée dans report-only pour toutes les pages.

    • Ajout d’un fournisseur à usage unique pour permettre l’exécution de scripts intégrés dans une CSP. Le fournisseur de valeur à usage unique facilite la génération de chaînes de valeur à usage unique pour chaque requête. Les chaînes sont ensuite jointes à l’en-tête CSP.

    • Ajout d’options pour configurer des URI personnalisés afin de signaler les violations CSP pour la page Créer une commande dans l’Admin et la page Passage en caisse dans le storefront. Vous pouvez ajouter la configuration à partir de l’administrateur ou en ajoutant l’URI au config.xml fichier .

      note note
      NOTE
      Mise à jour de la configuration CSP vers restrict Le mode peut bloquer les scripts intégrés existants sur les pages de paiement dans l’Admin et le storefront, ce qui entraîne l’erreur de navigateur suivante lors du chargement d’une page : Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Corrigez ces erreurs en mettant à jour la configuration de la liste blanche pour autoriser les scripts requis. Voir Dépannage dans le Guide du développeur PHP de Commerce.
  • Un nouveau paramètre de configuration du cache de la page entière peut aider à atténuer les risques associés au HTTP {BASE-URL}/page_cache/block/esi point de terminaison . Ce point de terminaison prend en charge les fragments de contenu sans restriction et chargés dynamiquement à partir des poignées de disposition Commerce et des structures de bloc. La nouvelle Handles params size paramètre de configuration définit la valeur de ce point de terminaison. handles qui détermine le nombre maximal autorisé de gestionnaires par API. La valeur par défaut de cette propriété est 100. Les vendeurs peuvent modifier cette valeur à partir de l’option Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles params size). Voir Configuration de l’application Commerce pour l’utilisation du vernis.

  • Limitation du taux natif pour les informations de paiement transmises par les API REST et GraphQL. Les vendeurs peuvent désormais configurer la limitation de débit pour les informations de paiement transmises par REST et GraphQL. Cette couche de protection supplémentaire prend en charge la prévention des attaques par carte et peut éventuellement réduire le volume des attaques par carte qui testent de nombreux numéros de carte de crédit en même temps. Il s’agit d’une modification du comportement par défaut d’un point de terminaison REST existant. Voir Limite de débit.

  • Le comportement par défaut de la variable isEmailAvailable Requête GraphQL et (V1/customers/isEmailAvailable) Le point de terminaison REST a changé. Par défaut, les API renvoient désormais toujours true. Les vendeurs peuvent activer le comportement d’origine en définissant la variable Activation de la connexion à l’extraction des invités dans l’option Admin to yes, mais cela peut exposer les informations client à des utilisateurs non authentifiés.

2.4.4-p8

La version de sécurité Adobe Commerce 2.4.4-p8 fournit des correctifs de bogues de sécurité pour votre déploiement Adobe Commerce 2.4.4. Ces mises à jour corrigent les vulnérabilités identifiées dans les versions précédentes.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB24-18.

2.4.4-p7

La version de sécurité Adobe Commerce 2.4.4-p7 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB24-03.

Mise en évidence de la sécurité

Cette version s’accompagne de deux améliorations importantes au niveau de la sécurité :

  • Modifications du comportement des clés de cache non générées:

    • Les clés de cache non générées pour les blocs incluent désormais des préfixes différents des préfixes pour les clés générées automatiquement. (Les clés de cache non générées sont des clés définies par le biais de la syntaxe de directive de modèle ou de la fonction setCacheKey ou setData méthodes.)
    • Les clés de cache non générées pour les blocs ne doivent désormais contenir que des lettres, des chiffres, des tirets (-) et des traits de soulignement (_).
  • Limites du nombre de codes de bon générés automatiquement. Commerce limite désormais le nombre de codes de bon générés automatiquement. La valeur par défaut maximale est de 250 000. Les vendeurs peuvent utiliser la nouvelle Code Quantity Limit option de configuration (Stores > Settings:Configuration > Customers > Promotions) pour contrôler cette nouvelle limite.

2.4.4-p6

La version de sécurité Adobe Commerce 2.4.4-p6 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB23-50.

Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

Mise en évidence de la sécurité

Cette version introduit un nouveau paramètre de configuration du cache de la page entière qui permet d’atténuer les risques associés à la variable {BASE-URL}/page_cache/block/esi HTTP point de terminaison . Ce point de terminaison prend en charge les fragments de contenu sans restriction et chargés dynamiquement à partir des poignées de disposition Commerce et des structures de bloc. La nouvelle Handles Param paramètre de configuration définit la valeur de ce point de terminaison. handles qui détermine le nombre maximal autorisé de gestionnaires par API. La valeur par défaut de cette propriété est 100. Les vendeurs peuvent modifier cette valeur à partir de l’option Admin (Stores > Settings: Configuration > System > Full Page Cache > Handles Param).

Problème connu

Problème: Adobe Commerce affiche une checksum incorrect erreur lors du téléchargement depuis le compositeur repo.magento.comet le téléchargement du package est interrompu. Ce problème peut se produire lors du téléchargement des modules de version qui ont été mis à disposition lors de la version préliminaire et qui est dû à un reconditionnement de la fonction magento/module-page-cache module.

Solution: les commerçants qui voient cette erreur lors du téléchargement peuvent procéder comme suit :

  1. Supprimez le /vendor dans le projet, le cas échéant.
  2. Exécutez la variable bin/magento composer update magento/module-page-cache . Cette commande ne met à jour que la fonction page cache module.

Si le problème de somme de contrôle persiste, supprimez la variable composer.lock avant de réexécuter la variable bin/magento composer update pour mettre à jour chaque module.

2.4.4-p5

La version de sécurité Adobe Commerce 2.4.4-p5 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB23-42.

Application d’un correctif pour résoudre la vulnérabilité de sécurité CVE-2022-31160 dans la bibliothèque jQuery-UI

jQuery-UI La version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et de Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les marchands exécutant les déploiements affectés doivent appliquer le correctif spécifié dans la variable Correctif de la vulnérabilité de sécurité de l’interface utilisateur de jQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6 Article de la base de connaissances.

2.4.4-p4

La version de sécurité Adobe Commerce 2.4.4-p4 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité et des mises à niveau de la plateforme afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB23-35.

Application d’un correctif pour résoudre la vulnérabilité de sécurité CVE-2022-31160 dans la bibliothèque jQuery-UI

jQuery-UI La version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et de Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les marchands exécutant les déploiements affectés doivent appliquer le correctif spécifié dans la variable Correctif de la vulnérabilité de sécurité de l’interface utilisateur de jQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6 Article de la base de connaissances.

Mise en évidence de la sécurité

Le comportement par défaut de la variable isEmailAvailable Requête GraphQL et (V1/customers/isEmailAvailable) Le point de terminaison REST a changé. Par défaut, l’API renvoie désormais toujours true. Les vendeurs peuvent activer le comportement d’origine, qui consiste à renvoyer la variable true si l’email n’existe pas dans la base de données et false s’il existe.

Mises à niveau de la plateforme

Les mises à niveau de plateforme de cette version améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

  • Prise en charge du cache 7.3 de vernis. Cette version est compatible avec la dernière version de Varnish Cache 7.3. La compatibilité reste avec les versions 6.0.x et 7u.2.x, mais Adobe recommande d’utiliser Adobe Commerce 2.4.4-p4 uniquement avec la version 7.3 ou la version 6.0 LTS du cache de vernis.

  • Prise en charge de RabbitMQ 3.11. Cette version est compatible avec la dernière version de RabbitMQ 3.11. La compatibilité reste avec RabbitMQ 3.9, qui est pris en charge jusqu’en août 2023, mais Adobe recommande d’utiliser Adobe Commerce 2.4.4-p4 uniquement avec RabbitMQ 3.11.

  • Bibliothèques JavaScript. Les bibliothèques JavaScript obsolètes ont été mises à niveau vers les dernières versions mineures ou de correctif, y compris moment.js library (v2.29.4), jQuery UI bibliothèque (v1.13.2) et jQuery bibliothèque de modules externes de validation (v1.19.5).

2.4.4-p3

La version de sécurité Adobe Commerce 2.4.4-p3 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB23-17.

2.4.4-p2

La version de sécurité Adobe Commerce 2.4.4-p2 fournit des correctifs pour les vulnérabilités identifiées dans les versions précédentes. Un correctif inclut la création d’un nouveau paramètre de configuration. La variable Demande de confirmation d’email si l’email a été modifié configuration permet aux administrateurs d’avoir besoin d’une confirmation par courrier électronique lorsqu’un utilisateur administrateur modifie son adresse électronique.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB22-48.

Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport

DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent s’appliquer AC-3022.patch dès leur première convenance de continuer à proposer DHL comme transporteur. Voir Appliquez un correctif pour continuer à proposer DHL comme opérateur de transport Article de la base de connaissances pour plus d’informations sur le téléchargement et l’installation du correctif.

2.4.4-p1

La version de sécurité Adobe Commerce 2.4.4-p1 fournit des correctifs pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe.t

Appliquer AC-3022.patch continuer à proposer DHL comme opérateur de transport

DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent s’appliquer AC-3022.patch dès leur première convenance de continuer à proposer DHL comme transporteur. Voir Appliquez un correctif pour continuer à proposer DHL comme opérateur de transport Article de la base de connaissances pour plus d’informations sur le téléchargement et l’installation du correctif.

Mise en évidence de la sécurité

Les améliorations de la sécurité de cette version améliorent la conformité aux dernières bonnes pratiques en matière de sécurité, notamment :

  • Des ressources de liste de contrôle d’accès ont été ajoutées à l’inventaire.
  • La sécurité du modèle d’inventaire a été améliorée.

Problèmes connus

Problème: les tests d’API Web et d’intégration affichent cette erreur lors de l’exécution sur le package 2.4.4-p1 : [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69. Solution: installez la version précédente de Monolog en exécutant la fonction require monolog/monolog:2.6.0 .

Problème: les marchands peuvent remarquer des avis de rétrogradation de version de package au cours d’une mise à niveau d’Adobe Commerce 2.4.4 vers Adobe Commerce 2.4.4-p1. Ces messages peuvent être ignorés. L’incohérence des versions de package résulte d’anomalies au cours de la génération de package. Aucune fonctionnalité de produit n’a été affectée. Voir Packages rétrogradation après mise à niveau de 2.4.4 à 2.4.4-p1 Article de la base de connaissances pour une discussion sur les scénarios et les solutions applicables.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f