Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.7

Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :

  • Correctifs de sécurité
  • Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
  • Problèmes connus
  • Instructions pour appliquer des correctifs supplémentaires si nécessaire
  • Informations sur tous les correctifs inclus dans la version

En savoir plus sur les versions de correctif de sécurité :

2.4.7-p3

La version de sécurité Adobe Commerce 2.4.7-p3 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.7.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-73.

NOTE
Après avoir installé ce correctif de sécurité, les marchands Adobe Commerce B2B doivent également effectuer une mise à jour vers la dernière version de correctif de sécurité B2B compatible. Voir les notes de mise à jour B2B.

Tons clairs

Cette version comprend les points forts suivants :

  • Mise à niveau TinyMCE : l’ éditeur WYSIWYG de l’administrateur utilise désormais la dernière version de la dépendance TinyMCE (7.3 ​).

    • TinyMCE 7.3 offre une expérience utilisateur améliorée, une meilleure collaboration et une efficacité accrue. TinyMCE 5 a été supprimé dans la ligne de mise à jour 2.4.8. ​

    • Comme une vulnérabilité de sécurité (CVE-2024-38357) a été signalée dans TinyMCE 5.10, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
  • Mise à niveau de Require.js : Adobe Commerce utilise désormais la dernière version de Require.js (2.3.7).

    • Comme une vulnérabilité de sécurité (CVE-2024-38999) a été signalée dans Require.js 2.3.6, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Ces mises à jour sont rétrocompatibles et ne doivent pas impacter les personnalisations et les extensions. ​

Correctifs inclus dans cette version

Cette version comprend un correctif pour résoudre un problème avec la passerelle de paiement du Braintree.

Le système comprend désormais les champs nécessaires pour remplir les exigences du mandat VISA 3DS lors de l’utilisation de Braintree comme passerelle de paiement. Cela permet de s'assurer que toutes les transactions sont conformes aux dernières normes de sécurité établies par VISA. Auparavant, ces champs supplémentaires n'étaient pas inclus dans les informations de paiement envoyées, ce qui aurait pu entraîner le non-respect des nouvelles exigences en matière de VISA.

2.4.7-p2

La version de sécurité Adobe Commerce 2.4.7-p2 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.7.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-61.

Tons clairs

Cette version comprend les points forts suivants :

  • Limitation de débit pourone-time passwords : les nouvelles options de configuration système suivantes sont désormais disponibles pour activer la limitation de débit sur la validation two-factor authentication (2FA) one-time password (OTP) :

    • Limite des tentatives de reprise pour l’authentification à deux facteurs
    • Délai d’expiration de l’authentification à deux facteurs (secondes)

    Adobe conseille de définir un seuil pour la validation OTP 2FA afin de limiter le nombre de tentatives pour atténuer les attaques par force brute. Voir Sécurité > 2FA dans le Guide de référence de configuration pour plus d’informations.

  • Rotation de la clé de chiffrement : une nouvelle commande d’interface de ligne de commande est désormais disponible pour modifier votre clé de chiffrement. Pour plus d’informations, reportez-vous à l’article Résolution des problèmes de rotation de la clé de chiffrement : CVE-2024-34102 de la base de connaissances.

  • Correctif pour CVE-2020-27511—Résout une vulnérabilité de sécurité Prototype.js.

  • Correctif pour CVE-2024-39397 : résout une vulnérabilité de sécurité d’exécution de code distant. Cette vulnérabilité affecte les marchands utilisant le serveur web Apache pour les déploiements sur site ou auto-hébergés. Ce correctif est également disponible en tant que correctif isolé. Pour plus d'informations, consultez l'article Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-61 de la base de connaissances.

Correctifs inclus dans cette version

Cette version comprend les correctifs suivants :

2.4.7-p1

La version de sécurité Adobe Commerce 2.4.7-p1 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.7.

Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB24-40.

Correctif pour CVE-2024-34102

IMPORTANT
Il s’agit d’une mise à jour urgente de notre dernière communication concernant CVE-2024-34102. Adobe sait que le CVE-2024-34102 a été exploité en liberté dans des attaques très limitées ciblant des commerçants Adobe Commerce. Prenez des mesures immédiates pour résoudre la vulnérabilité, si vous ne l’avez pas fait.

Pour les clients qui n’ont pas appliqué de correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024 :

Option 1 :

  1. Appliquez l’un des correctifs de sécurité publiés le 11 juin 2024 :

  2. Appliquez le correctif publié le 17 juillet 2024.

  3. Rotation clés de chiffrement.

Option 2 :

  1. Appliquez le correctif isolé.

  2. Rotation clés de chiffrement.

Pour les clients qui ont déjà appliqué un correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024 :

  1. Appliquez le correctif publié le 17 juillet 2024.

  2. Rotation clés de chiffrement.

Pour les clients qui ont déjà 1) appliqué un correctif de sécurité publié le 11 juin 2024 ou, 2) le correctif isolé publié le 28 juin 2024, et 3) ont fait pivoter leurs clés de chiffrement :

  1. Appliquez le correctif publié le 17 juillet 2024.

Tons clairs

Cette version comprend les points forts suivants :

  • Mise à jour des paramètres de mot de passe unique (OTP) pour l’authentificateur Google - Cette mise à jour est nécessaire pour résoudre une erreur qui a été introduite par une modification rétrocompatible dans la version 2.4.7. La description du champ OTP Window fournit désormais une explication exacte du paramètre et la valeur par défaut a été changée de 1 à 29.

  • Compatibilité de version B2B : pour la compatibilité avec Commerce version 2.4.7-p1, les marchands qui ont l’extension Adobe Commerce B2B doivent effectuer la mise à niveau vers B2B version 1.4.2-p1.

Correctifs inclus dans cette version

Adobe Commerce 2.4.7-p1 résout un problème introduit dans la portée de la migration de l’intégration UPS de SOAP à l’API REST. Ce problème affectait les clients qui expédient en dehors des États-Unis et les empêchait d’utiliser les mesures du système de mesure/SI des kilogrammes et des centimètres pour les colis afin de créer des envois avec UPS. Pour plus d’informations, consultez l’article Migration de l’intégration de la méthode d’expédition UPS de SOAP à l’API RESTful .

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f