Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB24-40

Nota: **Questo è un aggiornamento urgente relativo a CVE-2024-34102. Adobe è consapevole del fatto che CVE-2024-34102 è stato sfruttato in modo selvaggio in attacchi molto limitati rivolti ai commercianti Adobe Commerce.

Il 17 luglio 2024 è stato rilasciato un hotfix in aggiunta alla versione dell’aggiornamento di sicurezza dell’11 giugno 2024 e/o la patch isolata rilasciata il 28 giugno 2024.

Controlla tutti gli ambienti di produzione e non di produzione per assicurarti che l'archivio sia stato completamente aggiornato su tutte le istanze. Eseguire un'azione immediata per risolvere la vulnerabilità.

Nota: solo per Adobe Commerce su Cloud Merchants:

  1. Assicuratevi di utilizzare l'ultima versione di Utensili ECE. In caso contrario, eseguire l'aggiornamento (o passare alla voce 2). Per verificare la versione esistente, eseguire il comando: composer show magento/ece-tools
  2. Se si utilizza già l'ultima versione di Strumenti ECE, verificare la presenza del file op-exclude.txt. Per eseguire questa operazione, eseguire il comando: ls op-exclude.txt. Se questo file non è presente, aggiungi https://github.com/magento/magento-cloud/blob/master/op-exclude.txt all’archivio, quindi esegui il commit della modifica e la ridistribuzione.
  3. Senza dover aggiornare gli strumenti ECE, puoi anche aggiungere/modificare https://github.com/magento/magento-cloud/blob/master/op-exclude.txt nell’archivio, quindi eseguire il commit della modifica e ridistribuirla.

Opzione 1 - Per i commercianti che non hanno applicato l'aggiornamento di sicurezza dall'11 giugno 2024, né la patch isolata rilasciata il 28 giugno 2024

  1. Applicazione dell’hotfix rilasciata il 17 luglio 2024.
  2. Applicare la patch di sicurezza.
  3. Abilita la modalità di manutenzione.
  4. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  5. Ruota le chiavi di crittografia.
  6. Svuota la cache.
  7. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  8. Disattiva la modalità di manutenzione.

OR

  1. Applicare la patch isolata. Nota: Questa versione della patch isolata contiene l'hotfix del 17 luglio 2024 al suo interno.
  2. Abilita la modalità di manutenzione.
  3. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  4. Ruota le chiavi di crittografia.
  5. Svuota la cache.
  6. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  7. Disattiva la modalità di manutenzione.

Opzione 2 - Per i commercianti che hanno già applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o la patch isolata rilasciata il 28 giugno 2024

  1. Applicazione dell’hotfix rilasciata il 17 luglio 2024.
  2. Abilita la modalità di manutenzione.
  3. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  4. Ruota le chiavi di crittografia.
  5. Svuota la cache.
  6. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  7. Disattiva la modalità di manutenzione.

Opzione 3 - Per i commercianti che hanno già (1) applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o (2) la patch isolata rilasciata il 28 giugno 2024 e (3) ruotato le chiavi di crittografia

  • Applica l'hotfix rilasciato il 17 luglio 2024.

Nota: per essere sicuri dopo l'aggiornamento, è necessario ruotare anche le chiavi di crittografia:

  1. Abilita la modalità di manutenzione.
  2. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  3. Ruota le chiavi di crittografia.
  4. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  5. Disattiva la modalità di manutenzione.

Questo articolo illustra come implementare la patch isolata per questo problema per la versione corrente e precedenti di Adobe Commerce e Magento Open Source.

Nota: Questa versione della patch isolata contiene l'hotfix del 17 luglio 2024 al suo interno.

Descrizione description

Prodotti e versioni interessati

Adobe Commerce on Cloud, Adobe Commerce on-premise e Magento Open Source:

  • 2.4.7-p1 e versioni precedenti
  • 2.4.6-p6 e versioni precedenti
  • 2.4.5-p8 e versioni precedenti
  • 2.4.4-p9 e versioni precedenti

Risoluzione resolution

Soluzione per Adobe Commerce on Cloud, software Adobe Commerce on-premise e Magento Open Source

Per risolvere la vulnerabilità dei prodotti e delle versioni interessati, è necessario applicare la patch VULN-27015 (a seconda della versione) e ruotare le chiavi di crittografia.

Dettagli Hotfix

Dettagli patch isolata

Nota: Questa versione della patch isolata contiene l'hotfix del 17 luglio 2024 al suo interno.

Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:

Per la versione 2.4.7:

Per le versioni 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Per le versioni 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Per le versioni 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Come applicare la patch isolata e l’hotfix

Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.

Solo per Adobe Commerce su Cloud Merchants: come stabilire se le patch isolate sono state applicate

Considerando che non è possibile verificare facilmente se il problema è stato corretto, potrebbe essere utile verificare se la patch isolata VULN-27015 è stata applicata correttamente.

Per eseguire questa operazione, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:

  1. Installare lo strumento Patch di qualità.

  2. Esegui il comando: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. Dovresti trovare un output simile a questo, dove VULN-27015 restituisce il  Stato Applicato:

    table 0-row-6 1-row-6
    ID Titolo Categoria Origine Stato Dettagli
    N/D …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Altro Locale Applicato Tipo di patch: Personalizzato

Ruota/modifica la chiave di crittografia dopo l’applicazione della patch

Per informazioni su come ruotare/modificare la chiave di crittografia dopo l'applicazione della patch, consultare Guida di Admin Systems: chiave di crittografia nella documentazione di Commerce Admin Systems Guide.

Indicazioni aggiuntive sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia

Per ulteriori informazioni sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia per quanto riguarda CVE-2024-34102, vedere Informazioni sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia: CVE-2024-34102, anche nella Knowledge Base di Adobe Commerce.

Aggiornamenti di sicurezza

Aggiornamenti di sicurezza disponibili per Adobe Commerce:

Lettura correlata

Attivare o disattivare la modalità di manutenzione nella Guida all'installazione di Adobe Commerce

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f