Documentazione Commerce Informazioni sulla versione

Note sulla versione per le patch di sicurezza di Adobe Commerce 2.4.6

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Argomenti:

Creato per:

Esperto
Amministratore
Sviluppatore

Queste note sulla versione della patch di sicurezza acquisiscono gli aggiornamenti per migliorare la sicurezza della distribuzione Adobe Commerce. Le informazioni includono, tra l'altro:

Correzioni di bug di sicurezza
Elementi di sicurezza che forniscono maggiori dettagli sui miglioramenti e gli aggiornamenti inclusi nella patch di sicurezza
Problemi noti
Istruzioni per applicare patch aggiuntive, se necessario
Informazioni su eventuali hotfix inclusi nella versione

Ulteriori informazioni sulle versioni delle patch di sicurezza:

Adobe Commerce 2.4.6-p6

La versione di sicurezza Adobe Commerce 2.4.6-p6 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.6.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-40.

Applica hotfix per CVE-2024-34102

IMPORTANT

Questo è un aggiornamento urgente alla nostra ultima comunicazione relativa a CVE-2024-34102. Adobe è consapevole del fatto che CVE-2024-34102 è stato sfruttato in modo selvaggio in attacchi molto limitati rivolti ai commercianti Adobe Commerce. Agisci immediatamente per risolvere la vulnerabilità, se non lo hai fatto.

Per i clienti che non hanno applicato la patch di sicurezza rilasciata l'11 giugno 2024 o la patch isolata rilasciata il 28 giugno 2024:

Opzione 1:

Applica una delle patch di sicurezza rilasciate l’11 giugno 2024:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Applica l'hotfix rilasciato il 17 luglio 2024.
Ruota le chiavi di crittografia.

Opzione 2:

Applica la patch isolata.
Ruota le chiavi di crittografia.

Per i clienti che hanno già applicato una patch di sicurezza rilasciata l'11 giugno 2024 o la patch isolata rilasciata il 28 giugno 2024:

Applica l'hotfix rilasciato il 17 luglio 2024.
Ruota le chiavi di crittografia.

Per i clienti che hanno già 1) applicato una patch di sicurezza rilasciata l'11 giugno 2024 o 2) la patch isolata rilasciata il 28 giugno 2024 e 3) ha ruotato le chiavi di crittografia:

Applica l'hotfix rilasciato il 17 luglio 2024.

Evidenziazione sicurezza

Per la compatibilità con Commerce versione 2.4.6-p6, i commercianti con estensione Adobe Commerce B2B devono eseguire l'aggiornamento alla versione B2B versione 1.4.2-p1.

Ulteriori miglioramenti della sicurezza

È stato aggiunto il supporto per l'integrità della sottorisorsa (SRI) per soddisfare i requisiti PCI 4.0 per la verifica dell'integrità dello script nelle pagine di pagamento. Il supporto per l’integrità della sottorisorsa (SRI) fornisce hash di integrità per tutte le risorse JavaScript che risiedono nel file system locale. La funzione SRI predefinita viene implementata solo nelle pagine di pagamento per le aree amministratore e vetrina. Tuttavia, i commercianti possono estendere la configurazione predefinita ad altre pagine. Consulta Integrità della sottorisorsa nella Guida per gli sviluppatori di Commerce PHP.

Modifiche alle direttive Content Security Policy (CSP)—Aggiornamenti alla configurazione e miglioramenti alle direttive Adobe Commerce Content Security Policy (CSP) per la conformità ai requisiti PCI 4.0. Per informazioni dettagliate, vedere Informativa sulla sicurezza dei contenuti nella Guida per gli sviluppatori di Commerce PHP.

La configurazione CSP predefinita per le pagine di pagamento per le aree di amministrazione e vetrina di Commerce è ora in modalità restrict. Per tutte le altre pagine, la configurazione predefinita è la modalità report-only. Nelle versioni precedenti alla versione 2.4.7, CSP era configurato in modalità report-only per tutte le pagine.
È stato aggiunto un provider nonce per consentire l’esecuzione di script in linea in un CSP. Il provider di nonce facilita la generazione di stringhe di nonce univoche per ogni richiesta. Le stringhe vengono quindi collegate all’intestazione CSP.

Sono state aggiunte opzioni per configurare URI personalizzati in modo da segnalare le violazioni CSP per le pagine Crea ordine in Amministrazione e Pagamento nella vetrina. È possibile aggiungere la configurazione dall'amministratore o aggiungendo l'URI al file config.xml.

note note

note note
NOTE
L'aggiornamento della configurazione CSP alla modalità `restrict` potrebbe bloccare gli script in linea esistenti nelle pagine di pagamento in Admin e storefront, causando il seguente errore del browser al caricamento di una pagina: `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src`. Correggi questi errori aggiornando la configurazione della whitelist per consentire gli script richiesti. Consulta Risoluzione dei problemi nella Guida per gli sviluppatori di Commerce PHP.

NOTE

L'aggiornamento della configurazione CSP alla modalità restrict potrebbe bloccare gli script in linea esistenti nelle pagine di pagamento in Admin e storefront, causando il seguente errore del browser al caricamento di una pagina: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Correggi questi errori aggiornando la configurazione della whitelist per consentire gli script richiesti. Consulta Risoluzione dei problemi nella Guida per gli sviluppatori di Commerce PHP.

Adobe Commerce 2.4.6-p5

La versione di sicurezza Adobe Commerce 2.4.6-p5 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.6.

Per informazioni aggiornate su queste correzioni, vedere Adobe Security Bulletin APSB24-18.

Adobe Commerce 2.4.6-p4

La versione di sicurezza Adobe Commerce 2.4.6-p4 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti di sicurezza che migliorano la conformità alle più recenti best practice per la sicurezza.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-03.

Elementi di rilievo sulla sicurezza

Questa versione introduce due miglioramenti significativi per la sicurezza:

Modifiche al comportamento delle chiavi della cache non generate:
- Le chiavi della cache non generate per i blocchi ora includono prefissi che differiscono dai prefissi per le chiavi generate automaticamente. Le chiavi della cache non generate sono chiavi impostate tramite la sintassi di direttiva del modello o i metodi setCacheKey o setData.
- Le chiavi della cache non generate per i blocchi ora devono contenere solo lettere, cifre, trattini (-) e caratteri di sottolineatura (_).
Limitazioni al numero di codici coupon generati automaticamente. Commerce ora limita il numero di codici coupon generati automaticamente. Il valore massimo predefinito è 250.000. I commercianti possono utilizzare la nuova opzione di configurazione Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) per controllare questo nuovo limite.

Adobe Commerce 2.4.6-p3

La versione di sicurezza Adobe Commerce 2.4.6-p3 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti di sicurezza per migliorare la conformità alle più recenti best practice in materia di sicurezza.

Per informazioni aggiornate sulle correzioni di sicurezza, vedere Adobe Security Bulletin APSB23-50.

Elementi di rilievo sulla sicurezza

Questa versione introduce una nuova impostazione di configurazione della cache di pagina intera che consente di attenuare i rischi associati all'endpoint {BASE-URL}/page_cache/block/esi HTTP. Questo endpoint supporta frammenti di contenuto senza restrizioni e caricati dinamicamente dagli handle di layout e dalle strutture di blocco di Commerce. La nuova impostazione di configurazione Handles Param imposta il valore del parametro handles di questo endpoint, che determina il numero massimo consentito di handle per API. Il valore predefinito di questa proprietà è 100. I commercianti possono modificare questo valore dall'amministratore (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

Hotfix inclusi in questa versione

Adobe Commerce 2.4.6-p3 include la risoluzione del degrado delle prestazioni risolto dalla patch ACSD-51892. I commercianti non sono interessati dal problema risolto da questa patch, descritto nell'articolo ACSD-51892: Problema di prestazioni in cui i file di configurazione vengono caricati più volte della Knowledge Base.

Problema noto

Problema: Adobe Commerce visualizza un errore wrong checksum durante il download da parte del Compositore da repo.magento.com e il download del pacchetto è stato interrotto. Questo problema può verificarsi durante il download dei pacchetti di rilascio resi disponibili durante il periodo di prerelease ed è causato da un repackaging del pacchetto magento/module-page-cache.

Soluzione: i commercianti che visualizzano questo errore durante il download possono effettuare i seguenti passaggi:

Eliminare la directory /vendor all'interno del progetto, se presente.
Eseguire il comando bin/magento composer update magento/module-page-cache. Questo comando aggiorna solo il pacchetto page cache.

Se il problema di checksum persiste, rimuovere il file composer.lock prima di eseguire nuovamente il comando bin/magento composer update per aggiornare ogni pacchetto.

2.4.6-p2

La versione di sicurezza Adobe Commerce 2.4.6-p2 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione offre inoltre miglioramenti di sicurezza per migliorare la conformità alle più recenti best practice in materia di sicurezza.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB23-42.

Applica la patch per risolvere la vulnerabilità di sicurezza CVE-2022-31160 nella libreria jQuery-UI

La libreria jQuery-UI versione 1.13.1 presenta una vulnerabilità di sicurezza nota (CVE-2022-31160) che interessa più versioni di Adobe Commerce e Magento Open Source. Questa libreria è una dipendenza di Adobe Commerce e dei Magenti Open Source 2.4.4, 2.4.5 e 2.4.6. I commercianti che eseguono distribuzioni interessate devono applicare la patch specificata nella correzione della vulnerabilità di sicurezza dell'interfaccia utente jQuery CVE-2022-31160 per le versioni 2.4.4, 2.4.5 e 2.4.6 dell'articolo della Knowledge Base.

Evidenziazione sicurezza

Il valore di fastcgi_pass nel file nginx.sample è stato restituito al precedente valore di fastcgi_backend (precedente alla 2.4.6-p1). Questo valore è stato inavvertitamente modificato in php-fpm:9000 in Adobe Commerce 2.4.6-p1.

Hotfix inclusi in questa versione

Adobe Commerce 2.4.6-p2 include la risoluzione del degrado delle prestazioni risolto dalla patch ACSD-51892. I commercianti non sono interessati dal problema risolto da questa patch, descritto nell'articolo ACSD-51892: Problema di prestazioni in cui i file di configurazione vengono caricati più volte della Knowledge Base.

Adobe Commerce 2.4.6-p1

La versione di sicurezza Adobe Commerce 2.4.6-p1 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti. Questa versione include anche miglioramenti della sicurezza e aggiornamenti della piattaforma per migliorare la conformità alle più recenti best practice per la sicurezza.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB23-35.

Applica la patch per risolvere la vulnerabilità di sicurezza CVE-2022-31160 nella libreria jQuery-UI

La libreria jQuery-UI versione 1.13.1 presenta una vulnerabilità di sicurezza nota (CVE-2022-31160) che interessa più versioni di Adobe Commerce e Magento Open Source. Questa libreria è una dipendenza di Adobe Commerce e dei Magenti Open Source 2.4.4, 2.4.5 e 2.4.6. I commercianti che eseguono distribuzioni interessate devono applicare la patch specificata nella correzione della vulnerabilità di sicurezza dell'interfaccia utente di query CVE-2022-31160 per le versioni 2.4.4, 2.4.5 e 2.4.6🔗 dell'articolo della Knowledge Base.

Evidenziazione sicurezza

Il comportamento predefinito della query GraphQL isEmailAvailable e dell'endpoint REST (V1/customers/isEmailAvailable) è stato modificato. Per impostazione predefinita, l'API ora restituisce sempre true. I commercianti possono abilitare il comportamento originale, che restituisce true se l'e-mail non esiste nel database e false se esiste.

Aggiornamenti della piattaforma

Gli aggiornamenti della piattaforma per questa versione migliorano la conformità alle best practice di sicurezza più recenti.

Supporto cache di vernice 7.3. Questa versione è compatibile con la versione più recente di Varnish Cache 7.3. La compatibilità rimane con le versioni 6.0.x e 7.2.x, ma l'Adobe consigliato utilizzando Adobe Commerce 2.4.6-p1 solo con Vernice Cache versione 7.3 o 6.0 LTS.
Supporto di RabbitMQ 3.11. Questa versione è compatibile con l’ultima versione di RabbitMQ 3.11. La compatibilità rimane con RabbitMQ 3.9, che è supportato fino ad agosto 2023, ma l’Adobe consigliato è l’utilizzo di Adobe Commerce 2.4.6-p1 solo con RabbitMQ 3.11.
Librerie JavaScript. Le librerie JavaScript obsolete sono state aggiornate alle versioni secondarie o patch più recenti, tra cui la libreria moment.js (v2.29.4), la libreria jQuery UI (v1.13.2) e la libreria del plug-in di convalida jQuery (v1.19.5).

Problemi noti

Il file nginx.sample è stato inavvertitamente aggiornato con una modifica che modifica il valore di fastcgi_pass da fastcgi_backend a php-fpm:9000. Questa modifica può essere ripristinata o ignorata senza problemi.

Le dipendenze mancanti per il pacchetto di sicurezza B2B causano il seguente errore di installazione durante l’installazione o l’aggiornamento dell’estensione B2B alla versione 1.4.0.

code language-terminal

code language-terminal
`Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.`

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

Questo problema può essere risolto aggiungendo dipendenze manuali per il pacchetto di sicurezza B2B con un tag di stabilità. Per informazioni dettagliate, consulta le note sulla versione B2B.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f