Note sulla versione per le patch di sicurezza di Adobe Commerce 2.4.3
Queste note sulla versione della patch di sicurezza acquisiscono gli aggiornamenti per migliorare la sicurezza della distribuzione Adobe Commerce. Le informazioni includono, tra l'altro:
- Correzioni di bug di sicurezza
- Elementi di sicurezza che forniscono maggiori dettagli sui miglioramenti e gli aggiornamenti inclusi nella patch di sicurezza
- Problemi noti
- Istruzioni per applicare patch aggiuntive, se necessario
- Informazioni su eventuali hotfix inclusi nella versione
Ulteriori informazioni sulle versioni delle patch di sicurezza:
Adobe Commerce 2.4.3-p3
La versione di sicurezza Adobe Commerce 2.4.3-p3 fornisce correzioni di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.3. Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB22-38.
Applica AC-3022.patch per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
Elementi di rilievo sulla sicurezza
- Le risorse ACL sono state aggiunte al magazzino.
- La sicurezza del modello di inventario è stata migliorata.
Adobe Commerce 2.4.3-p2
La versione di sicurezza Adobe Commerce 2.4.3-p2 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB22-13. La versione patch risolve anche la vulnerabilità gestita da MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch e MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.
Applica AC-3022.patch per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
Elementi di rilievo sulla sicurezza
-
L’utilizzo della variabile e-mail è stato dichiarato obsoleto nella versione 2.3.4 come parte di una mitigazione del rischio sulla sicurezza in favore di una sintassi della variabile più rigida. Questo comportamento legacy è stato completamente rimosso in questa versione come continuazione della riduzione dei rischi per la sicurezza.
Di conseguenza, i modelli e-mail o newsletter che funzionavano nelle versioni precedenti potrebbero non funzionare correttamente dopo l’aggiornamento ad Adobe Commerce 2.4.3-p2. I modelli interessati includono sostituzioni amministratore, temi, temi secondari e modelli da moduli personalizzati o estensioni di terze parti. La distribuzione potrebbe essere ancora interessata anche dopo l'utilizzo dello strumento di compatibilità per l'aggiornamento per correggere gli utilizzi obsoleti. Per informazioni sui potenziali effetti e le linee guida per la migrazione dei modelli interessati, vedere Migrazione dei modelli di posta elettronica personalizzati.
-
I token di accesso OAuth e i token di reimpostazione della password ora sono crittografati quando sono memorizzati nel database.
-
La convalida è stata rafforzata per impedire il caricamento di estensioni di file non alfanumeriche.
-
Swagger è ora disabilitato per impostazione predefinita quando Adobe Commerce è in modalità di produzione.
-
Gli sviluppatori possono ora configurare il limite di dimensione per gli array accettati dagli endpoint RESTful di Adobe Commerce in base agli endpoint. Vedi Sicurezza API.
-
Sono stati aggiunti meccanismi per limitare le dimensioni e il numero di risorse che un utente può richiedere tramite un’API web a livello di sistema e per ignorare i valori predefiniti nei singoli moduli. Questo miglioramento risolve il problema risolto da
MC-43048__set_rate_limits__2.4.3.patch. Vedi Sicurezza API.
2.4.3-p1
La versione di sicurezza Adobe Commerce 2.4.3-p1 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nella versione precedente (Adobe Commerce 2.4.3 e Magento Open Source 2.4.3). Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB21-86. La versione della patch fornisce anche correzioni di bug per le estensioni sviluppate dal fornitore Braintree, Klarna e Vertex.
Applica AC-3022.patch per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
Hotfix
Questa versione include il seguente hotfix e tutti gli hotfix rilasciati per la versione della patch precedente.
- Patch
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Per informazioni sia sulla patch che sul problema, consultare l'articolo della Knowledge Base Aggiornamento Adobe Commerce 2.4.3, 2.3.7-p1 PHP Fatal error Hotfix.
Elementi di rilievo sulla sicurezza
ID sessione rimossi dal database. Questa modifica al codice può causare modifiche non significative se i commercianti dispongono di personalizzazioni o estensioni installate che utilizzano gli ID di sessione non elaborati memorizzati nel database.
Accesso amministratore limitato alle cartelle di Media Gallery. Le autorizzazioni predefinite di Media Gallery consentono ora solo le operazioni di directory (visualizzazione, caricamento, eliminazione e creazione) che sono esplicitamente consentite dalla configurazione. Gli utenti amministratori non possono più accedere alle risorse multimediali tramite Media Gallery caricate all'esterno delle directory catalog/category o wysiwyg. Gli amministratori che desiderano accedere alle risorse multimediali devono spostarle in una cartella consentita in modo esplicito o modificare le impostazioni di configurazione. Vedere Modificare le autorizzazioni della cartella di Media Library.
Limiti ridotti alla complessità delle query GraphQL. La complessità massima delle query consentita per GraphQL è stata ridotta per evitare attacchi Denial of Service (DOS). Vedere Configurazione della sicurezza di GraphQL.
In questa versione sono state corrette le vulnerabilità recenti del test di penetrazione.
L'espressione di origine non supportata unsafe-inline è stata rimossa dalla direttiva Content Security Policy frame-ancestors. GitHub-33101