DocumentazioneCommerceKnowledge base di Commerce

Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB24-40

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Creato per:

  • Sviluppatore
NOTE
**Si tratta di un aggiornamento urgente relativo a CVE-2024-34102. L'Adobe è a conoscenza del fatto che CVE-2024-34102 è stato sfruttato in modo selvaggio in attacchi molto limitati rivolti a commercianti Adobe Commerce.

Il 17 luglio 2024 è stato rilasciato hotfix in aggiunta alla versione dell’aggiornamento di sicurezza dell’11 giugno 2024 e/o alla patch isolata rilasciata il 28 giugno 2024.

Controlla tutti gli ambienti di produzione e non di produzione per assicurarti che l'archivio sia stato completamente aggiornato su tutte le istanze. azione immediata per risolvere la vulnerabilità.

NOTE
Solo per Adobe Commerce su Cloud Merchants:

1. Assicurarsi di utilizzare la versione più recente di ECE Tools. In caso contrario, eseguire l'aggiornamento (o passare alla voce 2). Per verificare la versione esistente, eseguire il comando seguente:composer show magento/ece-tools
2. Se si utilizza già la versione più recente di ECE Tools, verificare la presenza del file op-exclude.txt. Per eseguire il comando:ls op-exclude.txt.Se il file non è presente, aggiungere https://github.com/magento/magento-cloud/blob/master/op-exclude.txt all'archivio, quindi eseguire il commit della modifica e ridistribuire.
3. Senza dover aggiornare ECE Tools, puoi anche aggiungere/modificare https://github.com/magento/magento-cloud/blob/master/op-exclude.txt nel repository, quindi eseguire il commit della modifica e ridistribuirla.

Opzione 1: per i commercianti con not applicato l'aggiornamento di sicurezza dall'11 giugno 2024, né la patch isolata rilasciata il 28 giugno 2024

  1. Applica l’aggiornamento della sicurezza.
  2. Applica l'hotfix rilasciato il 17 luglio 2024.
  3. Ruota encryption keys.

OPPURE

  1. Applicare la patch isolata. NOTA: questa versione della patch isolata contiene il hotfix del 17 luglio 2024.
  2. Ruota encryption keys.

Opzione 2: per i commercianti che hanno già applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o la patch isolata rilasciata il 28 giugno 2024

  1. Applica l'hotfix rilasciato il 17 luglio 2024.
  2. Ruota encryption keys.

Opzione 3: per i commercianti che hanno già (1) applicato l'aggiornamento di sicurezza dall'11 giugno 2024 e/o (2) la patch isolata rilasciata il 28 giugno 2024 e (3) ha ruotato le chiavi di crittografia

NOTE
Per essere certi di essere ancora al sicuro dopo l'aggiornamento, devi anche ruotare il encryption keys.

Questo articolo illustra come implementare la patch isolata per questo problema per la versione corrente e precedenti di Adobe Commerce e Magento Open Source.

Prodotti e versioni interessati

Adobe Commerce on Cloud, Adobe Commerce on-premise e Magento Open Source:

  • 2.4.7 e versioni precedenti
  • 2.4.6-p5 e versioni precedenti
  • 2.4.5-p7 e versioni precedenti
  • 2.4.4-p8 e versioni precedenti

Soluzione per Adobe Commerce on Cloud, software Adobe Commerce on-premise e Magento Open Source

Per risolvere la vulnerabilità dei prodotti e delle versioni interessati, è necessario applicare la patch VULN-27015 (a seconda della versione) e ruotare encryption keys.

Dettagli Hotfix hotfix

Dettagli patch isolata

NOTA: questa versione della patch isolata contiene il hotfix del 17 luglio 2024.

Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:

Per la versione 2.4.7:

Per le versioni 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Per le versioni 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Per le versioni 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Come applicare la patch isolata e hotfix

Decomprimi il file e vedi Come applicare una patch del compositore fornita dall'Adobe nella Knowledge Base di supporto per le istruzioni.

Solo per Adobe Commerce su Cloud Merchants: come stabilire se le patch isolate sono state applicate

Considerando che non è possibile verificare facilmente se il problema è stato corretto, è possibile verificare se la patch isolata VULN-27015 è stata applicata correttamente.

A tale scopo, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:

  1. Installare lo strumento Patch di qualità.

  2. Esegui il comando:

    cve-2024-34102-tell-if-patch-apply-code

  3. Dovresti visualizzare un output simile a questo, dove VULN-27015 restituisce lo stato Applicato:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Ruota/modifica encryption key dopo l'applicazione della patch

  • Per informazioni su come ruotare/modificare encryption key dopo l'applicazione della patch, fare riferimento alla Guida di Admin Systems: Encryption key nella documentazione di Commerce Admin Systems Guide.

Aggiornamenti di sicurezza

Aggiornamenti di sicurezza disponibili per Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a