Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB24-40
Nota: **Questo è un aggiornamento urgente relativo a CVE-2024-34102. Adobe è consapevole del fatto che CVE-2024-34102 è stato sfruttato in modo selvaggio in attacchi molto limitati rivolti ai commercianti Adobe Commerce.
Il 17 luglio 2024 è stato rilasciato un hotfix in aggiunta alla versione dell’aggiornamento di sicurezza dell’11 giugno 2024 e/o la patch isolata rilasciata il 28 giugno 2024.
Controlla tutti gli ambienti di produzione e non di produzione per assicurarti che l'archivio sia stato completamente aggiornato su tutte le istanze. Eseguire un'azione immediata per risolvere la vulnerabilità.
Nota: solo per Adobe Commerce su Cloud Merchants:
- Assicuratevi di utilizzare l'ultima versione di Utensili ECE. In caso contrario, eseguire l'aggiornamento (o passare alla voce 2). Per verificare la versione esistente, eseguire il comando:
composer show magento/ece-tools
- Se si utilizza già l'ultima versione di Strumenti ECE, verificare la presenza del file
op-exclude.txt
. Per eseguire questa operazione, eseguire il comando:ls op-exclude.txt
. Se questo file non è presente, aggiungi https://github.com/magento/magento-cloud/blob/master/op-exclude.txt all’archivio, quindi esegui il commit della modifica e la ridistribuzione. - Senza dover aggiornare gli strumenti ECE, puoi anche aggiungere/modificare https://github.com/magento/magento-cloud/blob/master/op-exclude.txt nell’archivio, quindi eseguire il commit della modifica e ridistribuirla.
Opzione 1 - Per i commercianti che non hanno applicato l'aggiornamento di sicurezza dall'11 giugno 2024, né la patch isolata rilasciata il 28 giugno 2024
- Applicazione dell’hotfix rilasciata il 17 luglio 2024.
- Applicare la patch di sicurezza.
- Abilita la modalità di manutenzione.
- Disabilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:disable
). - Ruota le chiavi di crittografia.
- Svuota la cache.
- Abilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:enable
). - Disattiva la modalità di manutenzione.
OR
- Applicare la patch isolata. Nota: Questa versione della patch isolata contiene l'hotfix del 17 luglio 2024 al suo interno.
- Abilita la modalità di manutenzione.
- Disabilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:disable
). - Ruota le chiavi di crittografia.
- Svuota la cache.
- Abilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:enable
). - Disattiva la modalità di manutenzione.
Opzione 2 - Per i commercianti che hanno già applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o la patch isolata rilasciata il 28 giugno 2024
- Applicazione dell’hotfix rilasciata il 17 luglio 2024.
- Abilita la modalità di manutenzione.
- Disabilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:disable
). - Ruota le chiavi di crittografia.
- Svuota la cache.
- Abilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:enable
). - Disattiva la modalità di manutenzione.
Opzione 3 - Per i commercianti che hanno già (1) applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o (2) la patch isolata rilasciata il 28 giugno 2024 e (3) ruotato le chiavi di crittografia
- Applica l'hotfix rilasciato il 17 luglio 2024.
Nota: per essere sicuri dopo l'aggiornamento, è necessario ruotare anche le chiavi di crittografia:
- Abilita la modalità di manutenzione.
- Disabilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:disable
). - Ruota le chiavi di crittografia.
- Abilita esecuzione cron (comando Commerce su Cloud:
vendor/bin/ece-tools cron:enable
). - Disattiva la modalità di manutenzione.
Questo articolo illustra come implementare la patch isolata per questo problema per la versione corrente e precedenti di Adobe Commerce e Magento Open Source.
Nota: Questa versione della patch isolata contiene l'hotfix del 17 luglio 2024 al suo interno.
Descrizione description
Prodotti e versioni interessati
Adobe Commerce on Cloud, Adobe Commerce on-premise e Magento Open Source:
- 2.4.7-p1 e versioni precedenti
- 2.4.6-p6 e versioni precedenti
- 2.4.5-p8 e versioni precedenti
- 2.4.4-p9 e versioni precedenti
Risoluzione resolution
Soluzione per Adobe Commerce on Cloud, software Adobe Commerce on-premise e Magento Open Source
Per risolvere la vulnerabilità dei prodotti e delle versioni interessati, è necessario applicare la patch VULN-27015 (a seconda della versione) e ruotare le chiavi di crittografia.
Dettagli Hotfix
- Scarica l'aggiornamento rapido AC-12485_Hotfix_COMPOSER_patch.zip
Dettagli patch isolata
Nota: Questa versione della patch isolata contiene l'hotfix del 17 luglio 2024 al suo interno.
Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:
Per la versione 2.4.7:
Per le versioni 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
Per le versioni 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
Per le versioni 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
Come applicare la patch isolata e l’hotfix
Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.
Solo per Adobe Commerce su Cloud Merchants: come stabilire se le patch isolate sono state applicate
Considerando che non è possibile verificare facilmente se il problema è stato corretto, potrebbe essere utile verificare se la patch isolata VULN-27015 è stata applicata correttamente.
Per eseguire questa operazione, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch
come esempio:
-
Installare lo strumento Patch di qualità.
-
Esegui il comando:
vendor/bin/magento-patches -n status |grep "27015\|Status"
-
Dovresti trovare un output simile a questo, dove VULN-27015 restituisce il Stato Applicato:
table 0-row-6 1-row-6 ID Titolo Categoria Origine Stato Dettagli N/D …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Altro Locale Applicato Tipo di patch: Personalizzato
Ruota/modifica la chiave di crittografia dopo l’applicazione della patch
Per informazioni su come ruotare/modificare la chiave di crittografia dopo l'applicazione della patch, consultare Guida di Admin Systems: chiave di crittografia nella documentazione di Commerce Admin Systems Guide.
Indicazioni aggiuntive sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia
Per ulteriori informazioni sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia per quanto riguarda CVE-2024-34102, vedere Informazioni sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia: CVE-2024-34102, anche nella Knowledge Base di Adobe Commerce.
Aggiornamenti di sicurezza
Aggiornamenti di sicurezza disponibili per Adobe Commerce:
Lettura correlata
Attivare o disattivare la modalità di manutenzione nella Guida all'installazione di Adobe Commerce