Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.7
Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :
- Correctifs de sécurité
- Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
- Problèmes connus
- Instructions pour appliquer des correctifs supplémentaires si nécessaire
- Informations sur tous les correctifs inclus dans la version
En savoir plus sur les versions de correctif de sécurité :
- Présentation des versions de correctif de sécurité d’Adobe Commerce
- Les instructions de téléchargement et d’application des mises à jour des correctifs de sécurité sont disponibles dans le Guide de mise à niveau
2.4.7-p2
La version de sécurité Adobe Commerce 2.4.7-p2 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.7.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-61.
Tons clairs
Cette version comprend les points forts suivants :
-
Limitation de débit pourone-time passwords : les nouvelles options de configuration système suivantes sont désormais disponibles pour activer la limitation de débit sur la validation two-factor authentication (2FA) one-time password (OTP) :
- Limite des tentatives de reprise pour l’authentification à deux facteurs
- Délai d’expiration de l’authentification à deux facteurs (secondes)
Adobe conseille de définir un seuil pour la validation OTP 2FA afin de limiter le nombre de tentatives pour atténuer les attaques par force brute. Voir Sécurité > 2FA dans le Guide de référence de configuration pour plus d’informations.
-
Rotation de la clé de chiffrement : une nouvelle commande d’interface de ligne de commande est désormais disponible pour modifier votre clé de chiffrement. Pour plus d’informations, reportez-vous à l’article Résolution des problèmes de rotation de la clé de chiffrement : CVE-2024-34102 de la base de connaissances.
-
Correctif pour CVE-2020-27511—Résout une vulnérabilité de sécurité Prototype.js.
-
Correctif pour CVE-2024-39397 : résout une vulnérabilité de sécurité d’exécution de code distant. Cette vulnérabilité affecte les marchands utilisant le serveur web Apache pour les déploiements sur site ou auto-hébergés. Ce correctif est également disponible en tant que correctif isolé. Pour plus d'informations, consultez l'article Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-61 de la base de connaissances.
Correctifs inclus dans cette version
Cette version comprend les correctifs suivants :
-
Correctif pour résoudre une erreur JavaScript qui empêchait le rendu correct des cartes Google dans l’éditeur PageBuilder. Pour plus d’informations, reportez-vous à l’article Correctifs modifiés des pertes d’accès aux cartes Google sur toutes les versions d’Adobe Commerce de la base de connaissances.
-
Correctif pour résoudre un problème de validation du jeton web JSON (JWT) lié à CVE-2024-34102. Pour plus d’informations, reportez-vous à l’article Mise à jour de sécurité disponible pour Adobe Commerce-APSB24-40 de la base de connaissances.
2.4.7-p1
La version de sécurité Adobe Commerce 2.4.7-p1 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.7.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-40.
Correctif pour CVE-2024-34102
Pour les clients qui n’ont pas appliqué de correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024 :
Option 1 :
Option 2 :
-
Appliquez le correctif isolé.
-
Rotation clés de chiffrement.
Pour les clients qui ont déjà appliqué un correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024 :
Pour les clients qui ont déjà 1) appliqué un correctif de sécurité publié le 11 juin 2024 ou, 2) le correctif isolé publié le 28 juin 2024, et 3) ont fait pivoter leurs clés de chiffrement :
- Appliquez le correctif publié le 17 juillet 2024.
Tons clairs
Cette version comprend les points forts suivants :
-
Mise à jour des paramètres de mot de passe unique (OTP) pour l’authentificateur Google - Cette mise à jour est nécessaire pour résoudre une erreur qui a été introduite par une modification rétrocompatible dans la version 2.4.7. La description du champ OTP Window fournit désormais une explication exacte du paramètre et la valeur par défaut a été changée de
1
à29
. -
Compatibilité de version B2B : pour la compatibilité avec Commerce version 2.4.7-p1, les marchands qui ont l’extension Adobe Commerce B2B doivent effectuer la mise à niveau vers B2B version 1.4.2-p1.
Correctifs inclus dans cette version
Adobe Commerce 2.4.7-p1 résout un problème introduit dans la portée de la migration de l’intégration UPS de SOAP à l’API REST. Ce problème affectait les clients qui expédient en dehors des États-Unis et les empêchait d’utiliser les mesures du système de mesure/SI des kilogrammes et des centimètres pour les colis afin de créer des envois avec UPS. Pour plus d’informations, consultez l’article Migration de l’intégration de la méthode d’expédition UPS de SOAP à l’API RESTful .