Note sulla versione per le patch di sicurezza di Adobe Commerce 2.4.3
Queste note sulla versione della patch di sicurezza acquisiscono gli aggiornamenti per migliorare la sicurezza della distribuzione Adobe Commerce. Le informazioni includono, tra l'altro:
- Correzioni di bug di sicurezza
- Elementi di sicurezza che forniscono maggiori dettagli sui miglioramenti e gli aggiornamenti inclusi nella patch di sicurezza
- Problemi noti
- Istruzioni per applicare patch aggiuntive, se necessario
- Informazioni su eventuali hotfix inclusi nella versione
Ulteriori informazioni sulle versioni delle patch di sicurezza:
- Panoramica sulle versioni delle patch di sicurezza di Adobe Commerce
- Le istruzioni per scaricare e applicare le versioni delle patch di sicurezza sono disponibili nella Guida all'aggiornamento
Adobe Commerce 2.4.3-p3
Negli aggiornamenti della protezione di Adobe Systems Commerce 2.4.3-p3 sono disponibili correzioni di protezione per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.3. Questa versione include inoltre miglioramenti della sicurezza che migliorano la conformità alle più recenti procedure consigliate per la sicurezza.
Per informazioni aggiornate sulla correzione dei bug di sicurezza, vedere Adobe Systems Security Bulletin APSB22-38.
AC-3022.patch
Applica continuare a offrire DHL come corriere marittimo
DHL ha introdotto la versione 6.2 dello schema e renderà obsoleta la versione 6.0 dello schema nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch
al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
Elementi di rilievo sulla sicurezza
- Le risorse ACL sono state aggiunte all'inventario.
- La sicurezza dei modelli di inventario è stata migliorata.
Adobe Systems Commerce 2.4.3-p2
Negli aggiornamenti della protezione di Adobe Systems Commerce 2.4.3-p2 sono disponibili correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include inoltre miglioramenti della sicurezza che migliorano la conformità alle più recenti procedure consigliate per la sicurezza.
Per informazioni aggiornate sulla correzione dei bug di sicurezza, vedere Adobe Systems Bollettino sulla sicurezza APSB22-13. La versione patch risolve anche la vulnerabilità gestita da MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip
, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip
, MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch
e MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch
.
Applica AC-3022.patch
per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch
al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
Elementi di rilievo sulla sicurezza
-
L’utilizzo della variabile e-mail è stato dichiarato obsoleto nella versione 2.3.4 come parte di una mitigazione del rischio sulla sicurezza in favore di una sintassi della variabile più rigida. Questo comportamento legacy è stato completamente rimosso in questa versione come continuazione della riduzione dei rischi per la sicurezza.
Di conseguenza, i modelli e-mail o newsletter che funzionavano nelle versioni precedenti potrebbero non funzionare correttamente dopo l’aggiornamento ad Adobe Commerce 2.4.3-p2. I modelli interessati includono sostituzioni amministratore, temi, temi secondari e modelli da moduli personalizzati o estensioni di terze parti. La distribuzione potrebbe essere ancora interessata anche dopo l'utilizzo dello strumento di compatibilità per l'aggiornamento per correggere gli utilizzi obsoleti. Per informazioni sui potenziali effetti e le linee guida per la migrazione dei modelli interessati, vedere Migrazione dei modelli di posta elettronica personalizzati.
-
I token di accesso OAuth e i token di reimpostazione della password ora sono crittografati quando sono memorizzati nel database.
-
La convalida è stata rafforzata per impedire il caricamento di estensioni di file non alfanumeriche.
-
Swagger è ora disabilitato per impostazione predefinita quando Adobe Systems Commerce è in modalità di produzione.
-
Gli sviluppatori possono ora configurare il limite di dimensione per gli array accettati dagli endpoint RESTful di Adobe Systems Commerce in base all'endpoint. Consulta Sicurezza delle API.
-
Sono stati aggiunti meccanismi per limitare le dimensioni e il numero di risorse che un utente può richiedere tramite un’API web a livello di sistema e per ignorare i valori predefiniti nei singoli moduli. Questo miglioramento risolve il problema risolto da
MC-43048__set_rate_limits__2.4.3.patch
. Vedi Sicurezza API.
2.4.3-p1
Gli aggiornamenti della protezione di Adobe Systems Commerce 2.4.3-p1 forniscono correzioni di bug di sicurezza per le vulnerabilità identificate nella versione precedente (Adobe Systems Commerce 2.4.3 e Magento Open Source 2.4.3). Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB21-86. La versione della patch fornisce anche correzioni di bug per le estensioni sviluppate dal fornitore Braintree, Klarna e Vertex.
Applica AC-3022.patch
per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch
al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
Hotfix
Questa versione include il seguente hotfix e tutti gli hotfix rilasciati per la versione della patch precedente.
- Patch
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade
. Per informazioni sia sulla patch che sul problema, consultare l'articolo della Knowledge Base Aggiornamento Adobe Commerce 2.4.3, 2.3.7-p1 PHP Fatal error Hotfix.
Elementi di rilievo sulla sicurezza
ID sessione rimossi dal database. Questa modifica del codice può comportare modifiche di rilievo se gli esercenti dispongono di personalizzazioni o di estensioni installate che utilizzano gli ID di sessione non elaborati archiviati nel database.
Limitato il accesso di amministrazione alle cartelle Media Gallery. Le autorizzazioni predefinite di Media Gallery ora consentono solo le operazioni di directory (visualizzazione, caricamento, eliminazione e creazione) consentite esplicitamente dalla configurazione. Gli utenti amministratori non possono più accesso media risorse attraverso la Galleria multimediale caricati al di fuori delle catalog/category
directory OR wysiwyg
. Gli amministratori che desiderano accesso media risorse devono spostarle in una cartella esplicitamente consentita o modificare le impostazioni di configurazione. Consultate Modificare le autorizzazioni delle cartelle del Catalogo multimediale.
Sono stati abbassati i limiti alla complessità delle query GraphQL. La complessità massima delle query consentita per GraphQL è stata ridotta per evitare attacchi Denial of Service (DOS). Vedere Configurazione della sicurezza di GraphQL.
In questa versione sono state risolte alcune recenti vulnerabilità relative ai penetration test.
L'espressione unsafe-inline
sorgente non supportata è stata rimossa dalla direttiva Criteri frame-ancestors
per la sicurezza dei contenuti. GitHub-33101