Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.4
Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :
- Correctifs de sécurité
- Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
- Problèmes connus
- Instructions pour appliquer des correctifs supplémentaires si nécessaire
- Informations sur tous les correctifs inclus dans la version
En savoir plus sur les versions de correctif de sécurité :
- Présentation des versions de correctif de sécurité d’Adobe Commerce
- Les instructions de téléchargement et d’application des mises à jour des correctifs de sécurité sont disponibles dans le Guide de mise à niveau
2.4.4-p11
La version de sécurité Adobe Commerce 2.4.4-p11 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.4.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-73.
Tons clairs
Cette version comprend les points forts suivants :
-
Mise à niveau TinyMCE : l’ éditeur WYSIWYG de l’administrateur utilise désormais la dernière version de la dépendance TinyMCE (7.3 ).
-
TinyMCE 7.3 offre une expérience utilisateur améliorée, une meilleure collaboration et une efficacité accrue. TinyMCE 5 a été supprimé dans la ligne de mise à jour 2.4.8.
-
Comme une vulnérabilité de sécurité (CVE-2024-38357) a été signalée dans TinyMCE 5.10, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Mise à niveau de Require.js : Adobe Commerce utilise désormais la dernière version de Require.js (2.3.7).
-
Comme une vulnérabilité de sécurité (CVE-2024-38999) a été signalée dans Require.js 2.3.6, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
2.4.4-p10
La version de sécurité Adobe Commerce 2.4.4-p10 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.4.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-61.
Tons clairs
Cette version comprend les points forts suivants :
-
Limitation de débit pourone-time passwords : les nouvelles options de configuration système suivantes sont désormais disponibles pour activer la limitation de débit sur la validation two-factor authentication (2FA) one-time password (OTP) :
- Limite des tentatives de reprise pour l’authentification à deux facteurs
- Délai d’expiration de l’authentification à deux facteurs (secondes)
Adobe conseille de définir un seuil pour la validation OTP 2FA afin de limiter le nombre de tentatives pour atténuer les attaques par force brute. Voir Sécurité > 2FA dans le Guide de référence de configuration pour plus d’informations.
-
Rotation de la clé de chiffrement : une nouvelle commande d’interface de ligne de commande est désormais disponible pour modifier votre clé de chiffrement. Pour plus d’informations, reportez-vous à l’article Résolution des problèmes de rotation de la clé de chiffrement : CVE-2024-34102 de la base de connaissances.
-
Correctif pour CVE-2020-27511—Résout une vulnérabilité de sécurité Prototype.js.
-
Correctif pour CVE-2024-39397 : résout une vulnérabilité de sécurité d’exécution de code distant. Cette vulnérabilité affecte les marchands utilisant le serveur web Apache pour les déploiements sur site ou auto-hébergés. Ce correctif est également disponible en tant que correctif isolé. Pour plus d'informations, consultez l'article Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-61 de la base de connaissances.
Correctifs inclus dans cette version
Cette version comprend les correctifs suivants :
-
Correctif pour résoudre une erreur JavaScript qui empêchait le rendu correct des cartes Google dans l’éditeur PageBuilder. Pour plus d’informations, reportez-vous à l’article Correctifs modifiés des pertes d’accès aux cartes Google sur toutes les versions d’Adobe Commerce de la base de connaissances.
-
Correctif pour résoudre un problème de validation du jeton web JSON (JWT) lié à CVE-2024-34102. Pour plus d’informations, reportez-vous à l’article Mise à jour de sécurité disponible pour Adobe Commerce-APSB24-40 de la base de connaissances.
2.4.4-p9
La version de sécurité Adobe Commerce 2.4.4-p9 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.4.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-40.
Correctif pour CVE-2024-34102
Pour les clients qui n’ont pas appliqué de correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024 :
Option 1 :
Option 2 :
-
Appliquez le correctif isolé.
-
Rotation clés de chiffrement.
Pour les clients qui ont déjà appliqué un correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024 :
Pour les clients qui ont déjà 1) appliqué un correctif de sécurité publié le 11 juin 2024 ou, 2) le correctif isolé publié le 28 juin 2024, et 3) ont fait pivoter leurs clés de chiffrement :
- Appliquez le correctif publié le 17 juillet 2024.
Mises à niveau de la plateforme
- Prise en charge de MariaDB 10.5. Ce correctif introduit la compatibilité avec MariaDB version 10.5. Adobe Commerce est toujours compatible avec la version 10.4 de MariaDB, mais Adobe recommande d'utiliser Adobe Commerce 2.4.4-p9 et toutes les prochaines versions de correctifs uniquement avec la version 10.5 de MariaDB, car la maintenance de MariaDB 10.4 se termine le 18 juin 2024.
Tons clairs
-
Ajout de la prise en charge de l’intégrité des sous-ressources pour se conformer aux exigences PCI 4.0 de vérification de l’intégrité des scripts sur les pages de paiement. La prise en charge de l’intégrité des sous-ressources (SRI) fournit des hachages d’intégrité pour toutes les ressources JavaScript résidant dans le système de fichiers local. La fonctionnalité de SRI par défaut est implémentée uniquement sur les pages de paiement pour les zones d’administration et de storefront. Cependant, les marchands peuvent étendre la configuration par défaut à d’autres pages. Voir Intégrité des sous-ressources dans le Guide du développeur PHP de Commerce.
-
Modifications de la stratégie de sécurité du contenu (CSP) : mise à jour et améliorations de la configuration des stratégies de sécurité du contenu (CSP) Adobe Commerce pour se conformer aux exigences PCI 4.0. Pour plus d'informations, reportez-vous à la section Stratégies de sécurité du contenu du Guide du développeur PHP de Commerce.
-
La configuration par défaut de la CSP pour les pages de paiement pour l’administrateur Commerce et les zones de storefront est désormais le mode
restrict
. Pour toutes les autres pages, la configuration par défaut est le modereport-only
. Dans les versions antérieures à la version 2.4.7, la CSP était configurée en modereport-only
pour toutes les pages. -
Ajout d’un fournisseur à usage unique pour permettre l’exécution de scripts intégrés dans une CSP. Le fournisseur de valeur à usage unique facilite la génération de chaînes de valeur à usage unique pour chaque requête. Les chaînes sont ensuite jointes à l’en-tête CSP.
-
Ajout d’options pour configurer des URI personnalisés afin de signaler les violations CSP pour la page Créer une commande dans l’Admin et la page Passage en caisse dans le storefront. Vous pouvez ajouter la configuration à partir de l’administrateur ou en ajoutant l’URI au fichier
config.xml
.note note NOTE La mise à jour de la configuration CSP vers le mode restrict
peut bloquer les scripts intégrés existants sur les pages de paiement dans l’Admin et le storefront, ce qui entraîne l’erreur de navigateur suivante lors du chargement d’une page :Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Corrigez ces erreurs en mettant à jour la configuration de la liste blanche pour autoriser les scripts requis. Voir Dépannage dans le Guide du développeur PHP de Commerce.
-
2.4.4-p8
La version de sécurité Adobe Commerce 2.4.4-p8 fournit des correctifs de bogues de sécurité pour votre déploiement Adobe Commerce 2.4.4. Ces mises à jour corrigent les vulnérabilités identifiées dans les versions précédentes.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-18.
2.4.4-p7
La version de sécurité Adobe Commerce 2.4.4-p7 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB24-03.
Tons clairs
Cette version s’accompagne de deux améliorations importantes au niveau de la sécurité :
-
Modifications du comportement des clés de cache non générées :
- Les clés de cache non générées pour les blocs incluent désormais des préfixes différents des préfixes pour les clés générées automatiquement. (Les clés de cache non générées sont des clés définies par le biais de la syntaxe de directive de modèle ou des méthodes
setCacheKey
ousetData
.) - Les clés de cache non générées pour les blocs ne doivent désormais contenir que des lettres, des chiffres, des tirets (-) et des caractères de soulignement (_).
- Les clés de cache non générées pour les blocs incluent désormais des préfixes différents des préfixes pour les clés générées automatiquement. (Les clés de cache non générées sont des clés définies par le biais de la syntaxe de directive de modèle ou des méthodes
-
Limites du nombre de codes de bon générés automatiquement. Commerce limite désormais le nombre de codes de bon générés automatiquement. La valeur par défaut maximale est de 250 000. Les commerçants peuvent utiliser la nouvelle option de configuration Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) pour contrôler cette nouvelle limite.
2.4.4-p6
La version de sécurité Adobe Commerce 2.4.4-p6 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB23-50.
Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Tons clairs
Cette version introduit un nouveau paramètre de configuration du cache de la page entière qui permet d’atténuer les risques associés au point de terminaison {BASE-URL}/page_cache/block/esi HTTP
. Ce point de terminaison prend en charge les fragments de contenu sans restriction et chargés dynamiquement à partir des poignées de disposition Commerce et des structures de bloc. Le nouveau paramètre de configuration Handles Param définit la valeur du paramètre handles
de ce point de terminaison, qui détermine le nombre maximal autorisé de gestionnaires par API. La valeur par défaut de cette propriété est 100. Les vendeurs peuvent modifier cette valeur à partir de l’administrateur (Stores > Settings: Configuration > System > Full Page Cache > Handles Param).
Problèmes connus
Problème : Adobe Commerce affiche une erreur somme de contrôle incorrecte lors du téléchargement par le compositeur à partir de repo.magento.com
, et le téléchargement du package est interrompu. Ce problème peut se produire lors du téléchargement des packages de version qui ont été mis à disposition lors de la version préliminaire et qui est provoqué par un reconditionnement du package magento/module-page-cache
.
Solution : les vendeurs qui voient cette erreur lors du téléchargement peuvent procéder comme suit :
- Supprimez le répertoire
/vendor
dans le projet, le cas échéant. - Exécutez la commande
bin/magento composer update magento/module-page-cache
. Cette commande ne met à jour que le packagepage cache
.
Si le problème de somme de contrôle persiste, supprimez le fichier composer.lock
avant de réexécuter la commande bin/magento composer update
pour mettre à jour chaque package.
2.4.4-p5
La version de sécurité Adobe Commerce 2.4.4-p5 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB23-42.
Correctif pour CVE-2022-31160
jQuery-UI
La version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et de Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les marchands exécutant les déploiements affectés doivent appliquer le correctif spécifié dans la vulnérabilité de sécurité de l’interface utilisateur jQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6 de la base de connaissances.
2.4.4-p4
La version de sécurité Adobe Commerce 2.4.4-p4 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité et des mises à niveau de la plateforme afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB23-35.
Correctif pour CVE-2022-31160
jQuery-UI
La version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et de Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les marchands exécutant les déploiements affectés doivent appliquer le correctif spécifié dans la vulnérabilité de sécurité de l’interface utilisateur jQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6 de la base de connaissances.
Tons clairs
Le comportement par défaut de la requête GraphQL isEmailAvailable
et du point de terminaison REST (V1/customers/isEmailAvailable
) a changé. Par défaut, l’API renvoie désormais toujours true
. Les vendeurs peuvent activer le comportement d’origine, qui consiste à renvoyer true
si l’email n’existe pas dans la base de données et false
s’il existe.
Mises à niveau de la plateforme
Les mises à niveau de plateforme de cette version améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
-
Prise en charge du cache de vernis 7.3. Cette version est compatible avec la dernière version de Varnish Cache 7.3. La compatibilité reste avec les versions 6.0.x et 7u.2.x, mais Adobe recommande d’utiliser Adobe Commerce 2.4.4-p4 uniquement avec la version 7.3 ou la version 6.0 LTS du cache de vernis.
-
Prise en charge de RabbitMQ 3.11. Cette version est compatible avec la dernière version de RabbitMQ 3.11. La compatibilité reste avec RabbitMQ 3.9, qui est pris en charge jusqu’en août 2023, mais Adobe recommande d’utiliser Adobe Commerce 2.4.4-p4 uniquement avec RabbitMQ 3.11.
-
Bibliothèques JavaScript. Les bibliothèques JavaScript obsolètes ont été mises à niveau vers les dernières versions mineures ou de correctif, y compris la bibliothèque
moment.js
(v2.29.4), la bibliothèquejQuery UI
(v1.13.2) et la bibliothèque de modules externes de validationjQuery
(v1.19.5).
2.4.4-p3
La version de sécurité Adobe Commerce 2.4.4-p3 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB23-17.
2.4.4-p2
La version de sécurité Adobe Commerce 2.4.4-p2 fournit des correctifs pour les vulnérabilités identifiées dans les versions précédentes. Un correctif inclut la création d’un nouveau paramètre de configuration. Le paramètre de configuration Exiger une confirmation d'email si le courrier électronique a été modifié permet aux administrateurs d'avoir besoin d'une confirmation par courrier électronique lorsqu'un utilisateur administrateur modifie son adresse électronique.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB22-48.
Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch
dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
2.4.4-p1
La version de sécurité Adobe Commerce 2.4.4-p1 fournit des correctifs pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les dernières informations sur les correctifs de bogues de sécurité, consultez le Bulletin de sécurité Adobe.t
Appliquez AC-3022.patch
pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch
dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Tons clairs
Les améliorations de la sécurité de cette version améliorent la conformité aux dernières bonnes pratiques en matière de sécurité, notamment :
- Des ressources de liste de contrôle d’accès ont été ajoutées à l’inventaire.
- La sécurité du modèle d’inventaire a été améliorée.
Problèmes connus
Problème : les tests d’API Web et d’intégration affichent cette erreur lors de l’exécution sur le package 2.4.4-p1 : [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69
. Solution : installez la version précédente de Monolog en exécutant la commande require monolog/monolog:2.6.0
.
Problème : les vendeurs peuvent remarquer des avis de rétrogradation de version de package lors d’une mise à niveau d’Adobe Commerce 2.4.4 vers Adobe Commerce 2.4.4-p1. Ces messages peuvent être ignorés. L’incohérence des versions de package résulte d’anomalies au cours de la génération de package. Aucune fonctionnalité de produit n’a été affectée. Consultez l’article Packages rétrogradés après la mise à niveau de la version 2.4.4 à 2.4.4-p1 de la base de connaissances pour une discussion sur les scénarios et solutions de contournement affectés.