DocumentationCommerceInformations sur la version

Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.6

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Rubriques :

Créé pour :

  • Expérimenté
  • Administration
  • Développeur

Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :

  • Correctifs de sécurité
  • Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
  • Problèmes connus
  • Instructions pour appliquer des correctifs supplémentaires si nécessaire
  • Informations sur tous les correctifs inclus dans la version

En savoir plus sur les versions de correctif de sécurité :

Adobe Commerce 2.4.6-p6

La version de sécurité Adobe Commerce 2.4.6-p6 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.6.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-40.

Points phares de la sécurité

Pour des raisons de compatibilité avec Commerce version 2.4.6-p6, les commerçants qui disposent de l’extension Adobe Commerce B2B doivent effectuer la mise à niveau vers B2B version 1.4.2-p1.

Améliorations supplémentaires de la sécurité

  • Ajout de la prise en charge de l’intégrité des sous-ressources pour se conformer aux exigences PCI 4.0 de vérification de l’intégrité des scripts sur les pages de paiement. La prise en charge de l’intégrité des sous-ressources (SRI) fournit des hachages d’intégrité pour toutes les ressources JavaScript résidant dans le système de fichiers local. La fonctionnalité de SRI par défaut est implémentée uniquement sur les pages de paiement pour les zones d’administration et de storefront. Cependant, les marchands peuvent étendre la configuration par défaut à d’autres pages. Voir Intégrité des sous-ressources dans le Guide du développeur PHP de Commerce.

  • Modifications de la stratégie de sécurité du contenu (CSP) : mise à jour et améliorations de la configuration des stratégies de sécurité du contenu (CSP) Adobe Commerce pour se conformer aux exigences PCI 4.0. Pour plus d'informations, reportez-vous à la section Stratégies de sécurité du contenu du Guide du développeur PHP de Commerce.

    • La configuration par défaut de la CSP pour les pages de paiement pour l’administrateur Commerce et les zones de storefront est désormais le mode restrict. Pour toutes les autres pages, la configuration par défaut est le mode report-only. Dans les versions antérieures à la version 2.4.7, la CSP était configurée en mode report-only pour toutes les pages.

    • Ajout d’un fournisseur à usage unique pour permettre l’exécution de scripts intégrés dans une CSP. Le fournisseur de valeur à usage unique facilite la génération de chaînes de valeur à usage unique pour chaque requête. Les chaînes sont ensuite jointes à l’en-tête CSP.

    • Ajout d’options pour configurer des URI personnalisés afin de signaler les violations CSP pour la page Créer une commande dans l’Admin et la page Passage en caisse dans le storefront. Vous pouvez ajouter la configuration à partir de l’administrateur ou en ajoutant l’URI au fichier config.xml.

      note note
      NOTE
      La mise à jour de la configuration CSP vers le mode restrict peut bloquer les scripts intégrés existants sur les pages de paiement dans l’Admin et le storefront, ce qui entraîne l’erreur de navigateur suivante lors du chargement d’une page : Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Corrigez ces erreurs en mettant à jour la configuration de la liste blanche pour autoriser les scripts requis. Voir Dépannage dans le Guide du développeur PHP de Commerce.

Adobe Commerce 2.4.6-p5

La version de sécurité Adobe Commerce 2.4.6-p5 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.6.

Pour obtenir les informations les plus récentes sur ces correctifs, reportez-vous au Bulletin de sécurité Adobe APSB24-18.

Adobe Commerce 2.4.6-p4

La version de sécurité Adobe Commerce 2.4.6-p4 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB24-03.

Mise en évidence de la sécurité

Cette version s’accompagne de deux améliorations importantes au niveau de la sécurité :

  • Modifications du comportement des clés de cache non générées :

    • Les clés de cache non générées pour les blocs incluent désormais des préfixes différents des préfixes pour les clés générées automatiquement. (Les clés de cache non générées sont des clés définies par le biais de la syntaxe de directive de modèle ou des méthodes setCacheKey ou setData.)
    • Les clés de cache non générées pour les blocs ne doivent désormais contenir que des lettres, des chiffres, des tirets (-) et des caractères de soulignement (_).

  • Limites du nombre de codes de bon générés automatiquement. Commerce limite désormais le nombre de codes de bon générés automatiquement. La valeur par défaut maximale est de 250 000. Les commerçants peuvent utiliser la nouvelle option de configuration Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) pour contrôler cette nouvelle limite.

Adobe Commerce 2.4.6-p3

La version de sécurité Adobe Commerce 2.4.6-p3 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les dernières informations sur les correctifs de sécurité, reportez-vous au Bulletin de sécurité Adobe APSB23-50.

Mise en évidence de la sécurité

Cette version introduit un nouveau paramètre de configuration du cache de la page entière qui permet d’atténuer les risques associés au point de terminaison {BASE-URL}/page_cache/block/esi HTTP. Ce point de terminaison prend en charge les fragments de contenu sans restriction et chargés dynamiquement à partir des poignées de disposition Commerce et des structures de bloc. Le nouveau paramètre de configuration Handles Param définit la valeur du paramètre handles de ce point de terminaison, qui détermine le nombre maximal autorisé de gestionnaires par API. La valeur par défaut de cette propriété est 100. Les vendeurs peuvent modifier cette valeur à partir de l’administrateur (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

Correctifs inclus dans cette version

Adobe Commerce 2.4.6-p3 inclut la résolution de la dégradation des performances corrigée par le correctif ACSD-51892. Les commerçants ne sont pas affectés par le problème résolu par ce correctif, qui est décrit dans l’article ACSD-51892 : Problème de performance où les fichiers de configuration se chargent plusieurs fois de la base de connaissances.

Problème connu

Problème : Adobe Commerce affiche une erreur wrong checksum lors du téléchargement par le compositeur à partir de repo.magento.com, et le téléchargement du package est interrompu. Ce problème peut se produire lors du téléchargement des packages de version mis à disposition pendant la période de pré-version et est dû à un reconditionnement du package magento/module-page-cache.

Solution : les vendeurs qui voient cette erreur lors du téléchargement peuvent procéder comme suit :

  1. Supprimez le répertoire /vendor dans le projet, le cas échéant.
  2. Exécutez la commande bin/magento composer update magento/module-page-cache. Cette commande ne met à jour que le package page cache.

Si le problème de somme de contrôle persiste, supprimez le fichier composer.lock avant de réexécuter la commande bin/magento composer update pour mettre à jour chaque package.

2.4.6-p2

La version de sécurité Adobe Commerce 2.4.6-p2 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version contient également des améliorations de sécurité afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB23-42.

Application d’un correctif pour résoudre la vulnérabilité de sécurité CVE-2022-31160 dans la bibliothèque jQuery-UI

jQuery-UI La version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et de Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les marchands exécutant les déploiements affectés doivent appliquer le correctif spécifié dans la vulnérabilité de sécurité de l’interface utilisateur jQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6 de la base de connaissances.

Mise en évidence de la sécurité

La valeur de fastcgi_pass dans le fichier nginx.sample a été renvoyée à sa valeur précédente (pré-2.4.6-p1) de fastcgi_backend. Cette valeur a été remplacée par php-fpm:9000 dans Adobe Commerce 2.4.6-p1 par inadvertance.

Correctifs inclus dans cette version

Adobe Commerce 2.4.6-p2 comprend la résolution de la dégradation des performances qui a été corrigée par le correctif ACSD-51892. Les commerçants ne sont pas affectés par le problème résolu par ce correctif, qui est décrit dans l’article ACSD-51892 : Problème de performance où les fichiers de configuration se chargent plusieurs fois de la base de connaissances.

Adobe Commerce 2.4.6-p1

La version de sécurité Adobe Commerce 2.4.6-p1 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité et des mises à niveau de la plateforme afin d’améliorer la conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB23-35.

Application d’un correctif pour résoudre la vulnérabilité de sécurité CVE-2022-31160 dans la bibliothèque jQuery-UI

jQuery-UI La version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et de Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les marchands exécutant les déploiements affectés doivent appliquer le correctif spécifié dans la vulnérabilité de sécurité de l’interface utilisateur de requête CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6🔗 de la base de connaissances.

Mise en évidence de la sécurité

Le comportement par défaut de la requête GraphQL isEmailAvailable et du point de terminaison REST (V1/customers/isEmailAvailable) a changé. Par défaut, l’API renvoie désormais toujours true. Les vendeurs peuvent activer le comportement d’origine, qui consiste à renvoyer true si l’email n’existe pas dans la base de données et false s’il existe.

Mises à niveau de la plateforme

Les mises à niveau de plateforme de cette version améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.

  • Prise en charge du cache de vernis 7.3. Cette version est compatible avec la dernière version de Varnish Cache 7.3. La compatibilité reste assurée avec les versions 6.0.x et 7.2.x, mais l’Adobe recommandé avec Adobe Commerce 2.4.6-p1 est uniquement recommandé avec la version 7.3 ou la version 6.0 LTS du cache de vernis.

  • Prise en charge de RabbitMQ 3.11. Cette version est compatible avec la dernière version de RabbitMQ 3.11. La compatibilité reste avec RabbitMQ 3.9, qui est pris en charge jusqu’en août 2023, mais l’Adobe recommandé avec Adobe Commerce 2.4.6-p1 uniquement avec RabbitMQ 3.11.

  • Bibliothèques JavaScript. Les bibliothèques JavaScript obsolètes ont été mises à niveau vers les dernières versions mineures ou de correctif, y compris la bibliothèque moment.js (v2.29.4), la bibliothèque jQuery UI (v1.13.2) et la bibliothèque de modules externes de validation jQuery (v1.19.5).

Problèmes connus

  • Le fichier nginx.sample a été mis à jour par inadvertance avec une modification qui modifie la valeur de fastcgi_pass de fastcgi_backend à php-fpm:9000. Cette modification peut être annulée ou ignorée en toute sécurité.

  • Les dépendances manquantes pour le package de sécurité B2B provoquent l’erreur d’installation suivante lors de l’installation ou de la mise à niveau de l’extension B2B vers la version 1.4.0.

    code language-terminal 
    Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

    Ce problème peut être résolu en ajoutant des dépendances manuelles pour le package de sécurité B2B avec une balise de stabilité. Pour plus d’informations, voir les notes de mise à jour B2B.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f