Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB24-40

NOTE
**Si tratta di un aggiornamento urgente relativo a CVE-2024-34102. L'Adobe è a conoscenza del fatto che CVE-2024-34102 è stato sfruttato in modo selvaggio in attacchi molto limitati rivolti a commercianti Adobe Commerce.

Il 17 luglio 2024 è stato rilasciato hotfix in aggiunta alla versione dell’aggiornamento di sicurezza dell’11 giugno 2024 e/o alla patch isolata rilasciata il 28 giugno 2024.

Controlla tutti gli ambienti di produzione e non di produzione per assicurarti che l'archivio sia stato completamente aggiornato su tutte le istanze. azione immediata per risolvere la vulnerabilità.

NOTE
Solo per Adobe Commerce su Cloud Merchants:

1. Assicurarsi di utilizzare la versione più recente di ECE Tools. In caso contrario, eseguire l'aggiornamento (o passare alla voce 2). Per verificare la versione esistente, eseguire il comando seguente:composer show magento/ece-tools
2. Se si utilizza già la versione più recente di ECE Tools, verificare la presenza del file op-exclude.txt. Per eseguire il comando:ls op-exclude.txt.Se il file non è presente, aggiungere https://github.com/magento/magento-cloud/blob/master/op-exclude.txt all'archivio, quindi eseguire il commit della modifica e ridistribuire.
3. Senza dover aggiornare ECE Tools, puoi anche aggiungere/modificare https://github.com/magento/magento-cloud/blob/master/op-exclude.txt nel repository, quindi eseguire il commit della modifica e ridistribuirla.

Opzione 1: per i commercianti con not applicato l'aggiornamento di sicurezza dall'11 giugno 2024, né la patch isolata rilasciata il 28 giugno 2024

  1. Applica hotfix rilasciato il 17 luglio 2024.
  2. Applicare la patch di sicurezza.
  3. Abilita maintenance mode.
  4. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  5. Ruota encryption keys.
  6. Svuota la cache.
  7. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  8. Disabilita maintenance mode.

OPPURE

  1. Applicare la patch isolata. NOTA: questa versione della patch isolata contiene il hotfix del 17 luglio 2024.
  2. Abilita maintenance mode.
  3. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  4. Ruota encryption keys.
  5. Svuota la cache.
  6. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  7. Disabilita maintenance mode.

Opzione 2: per i commercianti che hanno già applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o la patch isolata rilasciata il 28 giugno 2024

  1. Applica hotfix rilasciato il 17 luglio 2024.
  2. Abilita maintenance mode.
  3. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
  4. Ruota encryption keys.
  5. Svuota la cache.
  6. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
  7. Disabilita maintenance mode.

Opzione 3: per i commercianti che hanno già (1) applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o (2) la patch isolata rilasciata il 28 giugno 2024 e (3) ha ruotato le chiavi di crittografia

  • Applica l'hotfix rilasciato il 17 luglio 2024.
NOTE
Per essere certi di essere ancora al sicuro dopo l'aggiornamento, devi anche ruotare il encryption keys:

1. Abilita maintenance mode.
2. Disabilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:disable).
3. Ruota encryption keys.
4. Abilita esecuzione cron (comando Commerce su Cloud: vendor/bin/ece-tools cron:enable).
5. Disabilita maintenance mode.

Questo articolo illustra come implementare la patch isolata per questo problema per la versione corrente e precedenti di Adobe Commerce e Magento Open Source.
NOTA: questa versione della patch isolata contiene il hotfix del 17 luglio 2024.

Prodotti e versioni interessati

Adobe Commerce on Cloud, Adobe Commerce on-premise e Magento Open Source:

  • 2.4.7-p1 e versioni precedenti
  • 2.4.6-p6 e versioni precedenti
  • 2.4.5-p8 e versioni precedenti
  • 2.4.4-p9 e versioni precedenti

Soluzione per Adobe Commerce on Cloud, software Adobe Commerce on-premise e Magento Open Source

Per risolvere la vulnerabilità dei prodotti e delle versioni interessati, è necessario applicare la patch VULN-27015 (a seconda della versione) e ruotare encryption keys.

Dettagli Hotfix hotfix

Dettagli patch isolata

NOTA: questa versione della patch isolata contiene il hotfix del 17 luglio 2024.

Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:

Per la versione 2.4.7:

Per le versioni 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Per le versioni 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Per le versioni 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Come applicare la patch isolata e hotfix

Decomprimi il file e vedi Come applicare una patch del compositore fornita dall'Adobe nella Knowledge Base di supporto per le istruzioni.

Solo per Adobe Commerce su Cloud Merchants: come stabilire se le patch isolate sono state applicate

Considerando che non è possibile verificare facilmente se il problema è stato corretto, è possibile verificare se la patch isolata VULN-27015 è stata applicata correttamente.

A tale scopo, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:

  1. Installare lo strumento Patch di qualità.

  2. Esegui il comando:

    cve-2024-34102-tell-if-patch-apply-code

  3. Dovresti visualizzare un output simile a questo, dove VULN-27015 restituisce lo stato Applicato:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Ruota/modifica encryption key dopo l'applicazione della patch

Per informazioni su come ruotare/modificare encryption key dopo l'applicazione della patch, fare riferimento alla Guida di Admin Systems: Encryption key nella documentazione di Commerce Admin Systems Guide.

Indicazioni aggiuntive sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia

Per ulteriori informazioni sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia relative a CVE-2024-34102, vedere Informazioni sulla protezione dell'archivio e sulla rotazione delle chiavi di crittografia: CVE-2024-34102, anche nella Knowledge Base di Adobe Commerce.

Aggiornamenti di sicurezza

Aggiornamenti di sicurezza disponibili per Adobe Commerce:

Lettura correlata

Attivare o disattivare maintenance mode nella Guida all'installazione di Adobe Commerce

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a