Note sulla versione per le patch di sicurezza di Adobe Commerce 2.4.4
Queste note sulla versione della patch di sicurezza acquisiscono gli aggiornamenti per migliorare la sicurezza della distribuzione Adobe Commerce. Le informazioni includono, tra l'altro:
- Correzioni di bug di sicurezza
- Elementi di sicurezza che forniscono maggiori dettagli sui miglioramenti e gli aggiornamenti inclusi nella patch di sicurezza
- Problemi noti
- Istruzioni per applicare patch aggiuntive, se necessario
- Informazioni su eventuali hotfix inclusi nella versione
Ulteriori informazioni sulle versioni delle patch di sicurezza:
- Panoramica sulle versioni delle patch di sicurezza di Adobe Commerce
- Le istruzioni per scaricare e applicare le versioni delle patch di sicurezza sono disponibili nella Guida all'aggiornamento
2.4.4-p11
La versione di sicurezza Adobe Commerce 2.4.4-p11 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.4.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-73.
In evidenza
Questa versione include i seguenti elementi di rilievo:
-
Aggiornamento TinyMCE. L'editor WYSIWYG nell'amministratore utilizza ora la versione più recente della dipendenza TinyMCE (7.3).
-
TinyMCE 7.3 offre un'esperienza utente migliorata, una migliore collaborazione e una maggiore efficienza. TinyMCE 5 è stato rimosso nella versione 2.4.8.
-
Poiché è stata segnalata una vulnerabilità di sicurezza (CVE-2024-38357) in TinyMCE 5.10, la dipendenza è stata aggiornata anche per tutte le linee di rilascio attualmente supportate e inclusa in tutte le patch di sicurezza di ottobre 2024:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Aggiornamento Require.js - Adobe Commerce utilizza ora la versione più recente di Require.js (2.3.7).
-
Poiché è stata segnalata una vulnerabilità di sicurezza (CVE-2024-38999) in Require.js 2.3.6, la dipendenza è stata aggiornata anche per tutte le linee di rilascio attualmente supportate e inclusa in tutte le patch di sicurezza di ottobre 2024:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
2.4.4-p10
La versione di sicurezza Adobe Commerce 2.4.4-p10 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.4.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-61.
In evidenza
Questa versione include i seguenti elementi di rilievo:
-
Limitazione della frequenza perone-time passwords. Le seguenti nuove opzioni di configurazione del sistema sono ora disponibili per abilitare la limitazione della frequenza nella convalida di two-factor authentication (2FA) one-time password (OTP):
- Limite tentativi per autenticazione a due fattori
- Tempo di blocco per autenticazione a due fattori (secondi)
L’Adobe consiglia di impostare una soglia per la convalida OTP 2FA per limitare il numero di tentativi di mitigare gli attacchi di forza bruta. Per ulteriori informazioni, vedere Sicurezza > 2FA nella Guida di riferimento alla configurazione.
-
Rotazione chiave di crittografia: è ora disponibile un nuovo comando CLI per la modifica della chiave di crittografia. Per ulteriori informazioni, vedere l'articolo della Knowledge Base relativo alla risoluzione dei problemi relativi alla rotazione delle chiavi di crittografia: CVE-2024-34102🔗.
-
Correzione per CVE-2020-27511—Risolve una vulnerabilità di sicurezza Prototype.js.
-
Correzione per CVE-2024-39397—Risolve una vulnerabilità di sicurezza dell'esecuzione di codice remoto. Questa vulnerabilità influisce sui commercianti che utilizzano il server web Apache per distribuzioni locali o con hosting autonomo. Questa correzione è disponibile anche come patch isolata. Per ulteriori informazioni, vedere l'articolo della Knowledge Base Security update available for Adobe Commerce - APSB24-61.
Hotfix inclusi in questa versione
Questa versione include i seguenti hotfix:
-
Hotfix per risolvere un errore di JavaScript che impediva il corretto rendering di Google Maps nell'editor PageBuilder. Per ulteriori informazioni, vedere l'articolo della Knowledge Base Patch riviste per la perdita dell'accesso a Google Maps in tutte le versioni di Adobe Commerce.
-
Hotfix per risolvere un problema di convalida del token web JSON (JWT) relativo a CVE-2024-34102. Per ulteriori informazioni, vedere l'articolo della Knowledge Base di Sicurezza disponibile per Adobe Commerce-APSB24-40.
2.4.4-p9
La versione di sicurezza Adobe Commerce 2.4.4-p9 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.4.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-40.
Applica hotfix per CVE-2024-34102
Per i clienti che non hanno applicato la patch di sicurezza rilasciata l'11 giugno 2024 o la patch isolata rilasciata il 28 giugno 2024:
Opzione 1:
Opzione 2:
-
Applica la patch isolata.
-
Ruota le chiavi di crittografia.
Per i clienti che hanno già applicato una patch di sicurezza rilasciata l'11 giugno 2024 o la patch isolata rilasciata il 28 giugno 2024:
Per i clienti che hanno già 1) applicato una patch di sicurezza rilasciata l'11 giugno 2024 o 2) la patch isolata rilasciata il 28 giugno 2024 e 3) ha ruotato le chiavi di crittografia:
- Applica l'hotfix rilasciato il 17 luglio 2024.
Aggiornamenti della piattaforma
- Supporto di MariaDB 10.5. Questa versione patch introduce la compatibilità con MariaDB versione 10.5. Adobe Commerce è ancora compatibile con MariaDB versione 10.4, ma Adobe consiglia di utilizzare Adobe Commerce 2.4.4-p9 e tutte le prossime versioni delle patch di sicurezza 2.4.4 solo con MariaDB versione 10.5 perché la manutenzione di MariaDB 10.4 termina il 18 giugno 2024.
In evidenza
-
È stato aggiunto il supporto per l'integrità della sottorisorsa (SRI) per soddisfare i requisiti PCI 4.0 per la verifica dell'integrità dello script nelle pagine di pagamento. Il supporto per l’integrità della sottorisorsa (SRI) fornisce hash di integrità per tutte le risorse JavaScript che risiedono nel file system locale. La funzione SRI predefinita viene implementata solo nelle pagine di pagamento per le aree amministratore e vetrina. Tuttavia, i commercianti possono estendere la configurazione predefinita ad altre pagine. Consulta Integrità della sottorisorsa nella Guida per gli sviluppatori di Commerce PHP.
-
Modifiche alle direttive Content Security Policy (CSP)—Aggiornamenti alla configurazione e miglioramenti alle direttive Adobe Commerce Content Security Policy (CSP) per la conformità ai requisiti PCI 4.0. Per informazioni dettagliate, vedere Informativa sulla sicurezza dei contenuti nella Guida per gli sviluppatori di Commerce PHP.
-
La configurazione CSP predefinita per le pagine di pagamento per le aree di amministrazione e vetrina di Commerce è ora in modalità
restrict
. Per tutte le altre pagine, la configurazione predefinita è la modalitàreport-only
. Nelle versioni precedenti alla versione 2.4.7, CSP era configurato in modalitàreport-only
per tutte le pagine. -
È stato aggiunto un provider nonce per consentire l’esecuzione di script in linea in un CSP. Il provider di nonce facilita la generazione di stringhe di nonce univoche per ogni richiesta. Le stringhe vengono quindi collegate all’intestazione CSP.
-
Sono state aggiunte opzioni per configurare URI personalizzati in modo da segnalare le violazioni CSP per le pagine Crea ordine in Amministrazione e Pagamento nella vetrina. È possibile aggiungere la configurazione dall'amministratore o aggiungendo l'URI al file
config.xml
.note note NOTE L'aggiornamento della configurazione CSP alla modalità restrict
potrebbe bloccare gli script in linea esistenti nelle pagine di pagamento in Admin e storefront, causando il seguente errore del browser al caricamento di una pagina:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Correggi questi errori aggiornando la configurazione della whitelist per consentire gli script richiesti. Consulta Risoluzione dei problemi nella Guida per gli sviluppatori di Commerce PHP.
-
2.4.4-p8
La versione di sicurezza Adobe Commerce 2.4.4-p8 fornisce correzioni di bug di sicurezza per la distribuzione Adobe Commerce 2.4.4. Questi aggiornamenti correggono le vulnerabilità identificate nelle versioni precedenti.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-18.
2.4.4-p7
La versione di sicurezza di Adobe Commerce 2.4.4-p7 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-03.
In evidenza
Questa versione introduce due miglioramenti significativi per la sicurezza:
-
Modifiche al comportamento delle chiavi della cache non generate:
- Le chiavi della cache non generate per i blocchi ora includono prefissi che differiscono dai prefissi per le chiavi generate automaticamente. Le chiavi della cache non generate sono chiavi impostate tramite la sintassi di direttiva del modello o i metodi
setCacheKey
osetData
. - Le chiavi della cache non generate per i blocchi ora devono contenere solo lettere, cifre, trattini (-) e caratteri di sottolineatura (_).
- Le chiavi della cache non generate per i blocchi ora includono prefissi che differiscono dai prefissi per le chiavi generate automaticamente. Le chiavi della cache non generate sono chiavi impostate tramite la sintassi di direttiva del modello o i metodi
-
Limitazioni al numero di codici coupon generati automaticamente. Commerce ora limita il numero di codici coupon generati automaticamente. Il valore massimo predefinito è 250.000. I commercianti possono utilizzare la nuova opzione di configurazione Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) per controllare questo nuovo limite.
2.4.4-p6
La versione di sicurezza Adobe Commerce 2.4.4-p6 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB23-50.
Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.
In evidenza
Questa versione introduce una nuova impostazione di configurazione della cache di pagina intera che consente di attenuare i rischi associati all'endpoint {BASE-URL}/page_cache/block/esi HTTP
. Questo endpoint supporta frammenti di contenuto senza restrizioni e caricati dinamicamente dagli handle di layout e dalle strutture di blocco di Commerce. La nuova impostazione di configurazione Handles Param imposta il valore del parametro handles
di questo endpoint, che determina il numero massimo consentito di handle per API. Il valore predefinito di questa proprietà è 100. I commercianti possono modificare questo valore dall'amministratore (Stores > Settings: Configuration > System > Full Page Cache > Handles Param).
Problemi noti
Problema: Adobe Commerce visualizza un errore checksum non corretto durante il download da repo.magento.com
da parte di Composer e il download del pacchetto è stato interrotto. Questo problema può verificarsi durante il download dei pacchetti di rilascio resi disponibili durante la versione prerelease ed è causato da un repackaging del pacchetto magento/module-page-cache
.
Soluzione: i commercianti che visualizzano questo errore durante il download possono effettuare i seguenti passaggi:
- Eliminare la directory
/vendor
all'interno del progetto, se presente. - Eseguire il comando
bin/magento composer update magento/module-page-cache
. Questo comando aggiorna solo il pacchettopage cache
.
Se il problema di checksum persiste, rimuovere il file composer.lock
prima di eseguire nuovamente il comando bin/magento composer update
per aggiornare ogni pacchetto.
2.4.4-p5
La versione di sicurezza Adobe Commerce 2.4.4-p5 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB23-42.
Applica hotfix per CVE-2022-31160
La libreria jQuery-UI
versione 1.13.1 presenta una vulnerabilità di sicurezza nota (CVE-2022-31160) che interessa più versioni di Adobe Commerce e Magento Open Source. Questa libreria è una dipendenza di Adobe Commerce e dei Magenti Open Source 2.4.4, 2.4.5 e 2.4.6. I commercianti che eseguono distribuzioni interessate devono applicare la patch specificata nella correzione della vulnerabilità di sicurezza dell'interfaccia utente jQuery CVE-2022-31160 per le versioni 2.4.4, 2.4.5 e 2.4.6 dell'articolo della Knowledge Base.
2.4.4-p4
La versione di sicurezza Adobe Commerce 2.4.4-p4 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti della sicurezza e aggiornamenti della piattaforma per migliorare la conformità alle più recenti best practice per la sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB23-35.
Applica hotfix per CVE-2022-31160
La libreria jQuery-UI
versione 1.13.1 presenta una vulnerabilità di sicurezza nota (CVE-2022-31160) che interessa più versioni di Adobe Commerce e Magento Open Source. Questa libreria è una dipendenza di Adobe Commerce e dei Magenti Open Source 2.4.4, 2.4.5 e 2.4.6. I commercianti che eseguono distribuzioni interessate devono applicare la patch specificata nella correzione della vulnerabilità di sicurezza dell'interfaccia utente jQuery CVE-2022-31160 per le versioni 2.4.4, 2.4.5 e 2.4.6 dell'articolo della Knowledge Base.
In evidenza
Il comportamento predefinito della query GraphQL isEmailAvailable
e dell'endpoint REST (V1/customers/isEmailAvailable
) è stato modificato. Per impostazione predefinita, l'API ora restituisce sempre true
. I commercianti possono abilitare il comportamento originale, che restituisce true
se l'e-mail non esiste nel database e false
se esiste.
Aggiornamenti della piattaforma
Gli aggiornamenti della piattaforma per questa versione migliorano la conformità alle best practice di sicurezza più recenti.
-
Supporto cache di vernice 7.3. Questa versione è compatibile con la versione più recente di Varnish Cache 7.3. La compatibilità rimane con le versioni 6.0.x e 7u.2.x, ma Adobe consiglia di utilizzare Adobe Commerce 2.4.4-p4 solo con Vernice Cache versione 7.3 o 6.0 LTS.
-
Supporto di RabbitMQ 3.11. Questa versione è compatibile con l’ultima versione di RabbitMQ 3.11. La compatibilità rimane con RabbitMQ 3.9, che è supportato fino ad agosto 2023, ma l’Adobe consiglia di utilizzare Adobe Commerce 2.4.4-p4 solo con RabbitMQ 3.11.
-
Librerie JavaScript. Le librerie JavaScript obsolete sono state aggiornate alle versioni secondarie o patch più recenti, tra cui la libreria
moment.js
(v2.29.4), la libreriajQuery UI
(v1.13.2) e la libreria del plug-in di convalidajQuery
(v1.19.5).
2.4.4-p3
La versione di sicurezza Adobe Commerce 2.4.4-p3 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB23-17.
2.4.4-p2
La versione di sicurezza di Adobe Commerce 2.4.4-p2 fornisce correzioni per le vulnerabilità identificate nelle versioni precedenti. Una correzione include la creazione di una nuova impostazione di configurazione. L'impostazione di configurazione Richiedi conferma e-mail se l'indirizzo e-mail è stato modificato consente agli amministratori di richiedere conferma e-mail quando un utente amministratore modifica il proprio indirizzo e-mail.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB22-48.
Applica AC-3022.patch per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch
al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
2.4.4-p1
La versione di sicurezza Adobe Commerce 2.4.4-p1 fornisce correzioni per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti di sicurezza per migliorare la conformità alle più recenti best practice in materia di sicurezza.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedi Bollettino sulla sicurezza di Adobe.t
Applica AC-3022.patch
per continuare a offrire DHL come vettore di spedizione
DHL ha introdotto lo schema versione 6.2 e dichiarerà obsoleto lo schema versione 6.0 nel prossimo futuro. Adobe Commerce 2.4.4 e versioni precedenti che supportano l’integrazione DHL supportano solo la versione 6.0. I commercianti che distribuiscono queste versioni devono applicare AC-3022.patch
al più presto per continuare a offrire DHL come vettore di spedizione. Per informazioni sul download e l'installazione della patch, vedere l'articolo della Knowledge Base Applica una patch per continuare a offrire DHL come corriere.
In evidenza
Miglioramenti di sicurezza per questa versione migliorano la conformità con le best practice più recenti, tra cui:
- Le risorse ACL sono state aggiunte al magazzino.
- La sicurezza del modello di inventario è stata migliorata.
Problemi noti
Problema: l'API Web e i test di integrazione visualizzano questo errore quando vengono eseguiti sul pacchetto 2.4.4-p1: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69
. Soluzione: installare la versione precedente di Monolog eseguendo il comando require monolog/monolog:2.6.0
.
Problema: i commercianti possono notare avvisi di downgrade della versione del pacchetto durante un aggiornamento da Adobe Commerce 2.4.4 a Adobe Commerce 2.4.4-p1. Questi messaggi possono essere ignorati. La discrepanza nelle versioni dei pacchetti deriva da anomalie durante la generazione dei pacchetti. Nessuna funzionalità del prodotto interessata. Per informazioni sugli scenari interessati e sulle soluzioni alternative, vedere l'articolo della Knowledge Base Pacchetti sottoposti a downgrade dopo l'aggiornamento da 2.4.4 a 2.4.4-p1.