Adobe Commerce APSB22-12 で利用可能なセキュリティアップデート

NOTE
更新:CVE-2022-24086 に必要な追加のセキュリティ保護が見つかり、それらに対処するための更新をリリースしました(CVE-2022-24087)。 お客様向けのセキュリティ更新は こちらから入手できます。

Adobeは、Adobe CommerceとMagento Open Sourceのセキュリティ更新をリリースしました。 これらの更新プログラムは、 重大と評価された脆弱性を解決します。 不正利用に成功すると、任意のコードが実行される可能性があります。

Adobeでは、CVE-2022-24086 が、Adobe Commerceのマーチャントを対象とした非常に限定的な攻撃で使用されていることは認識されています。 Adobeは、このアップデートで対処された問題に対して、実際に利用されている悪用を認識していません(CVE-2022-24087)。

この記事では、問題を修正するための追加のソリューションの詳細を説明します。

影響を受ける製品とバージョン

  • Adobe CommerceとMagento Open Source 2.3.3-p1 ~ 2.3.7-p2 および 2.4.0 ~ 2.4.3-p1

クラウドインフラストラクチャー上のAdobe Commerceのソリューション

この問題は、Cloud Patches パッケージ v1.0.16 で解決されました。 この問題を修正するには、 最新のクラウドパッチパッケージにアップグレードすることをお勧めします。 最新のクラウドパッチパッケージには、以前のパッケージからのすべてのアップグレードが含まれます。

最新のクラウドパッチパッケージにアップグレードする前に、APSB22-12 に関連するカスタムパッチをアンインストールする必要があります。 具体的には、MDVA-43395 および MDVA-43443 パッチ。 これをおこなうには、次の手順に従います。

  1. パッチ MDVA-43395 および MDVA-43443 がインストールされているかどうかを確認します。 パッチが適用されているかどうかを確認するには、次の 手順に従います。
  2. パッチがインストールされている場合は、次の手順に従って パッチをアンインストールします。
  3. 最新のクラウドパッチパッケージにアップグレードするには、次のコマンドを実行します。composer update magento/magento-cloud-patches
  4. composer.lock ファイルと composer.json ファイルをコミットしてプッシュします。
  5. 再デプロイ。

Adobe CommerceのオンプレミスおよびMagento Open Source向けソリューション

Adobe Commerce オンプレミスまたはMagento Open Sourceで作業している場合、この問題を解決するには、まず MDVA-43395 パッチを適用してから、その上に MDVA-43443 パッチを適用する必要があります。

Adobe Commerceのバージョンに応じて、次のパッチを添付して使用します。

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

Composer パッチの適用方法

ファイルを解凍し、Adobeが提供する Composer パッチの適用方法の手順に従います。

パッチが適用されているかどうかを知る方法 how-to-tell-whether-the-patches-have-been-applied

問題にパッチが適用されたかどうかを簡単に確認できないので、MDVA-43395 および MDVA-43443 パッチが正常に適用されたかどうかを確認することをお勧めします。

これを行うには、次の手順を実行します。

  1. 品質向上パッチツールのインストール
  2. 次のコマンドを実行します:vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. 次の出力が表示されます。MDVA-43395 は N/A ステータスを返し、MDVA-43443 は Applied ステータスを返します。
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

セキュリティの更新

Adobe Commerceで利用できるセキュリティ更新プログラム:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a