Adobe Commerce APSB22-12 で利用可能なセキュリティアップデート

NOTE
更新:CVE-2022-24086 に必要な追加のセキュリティ保護が見つかり、それらに対処するための更新をリリースしました(CVE-2022-24087)。 顧客向けのセキュリティ更新プログラムが利用可能です こちら.

Adobeは、Adobe CommerceとMagento Open Sourceのセキュリティ更新をリリースしました。 これらのアップデートは、評価された脆弱性を解決します 重大. 不正利用に成功すると、任意のコードが実行される可能性があります。

Adobeでは、CVE-2022-24086 が、Adobe Commerceのマーチャントを対象とした非常に限定的な攻撃で使用されていることは認識されています。 Adobeは、このアップデートで対処された問題に対して、実際に利用されている悪用を認識していません(CVE-2022-24087)。

この記事では、問題を修正するための追加のソリューションの詳細を説明します。

影響を受ける製品とバージョン

  • Adobe CommerceとMagento Open Source 2.3.3-p1 ~ 2.3.7-p2 および 2.4.0 ~ 2.4.3-p1

クラウドインフラストラクチャー上のAdobe Commerceのソリューション

問題は次で解決されました: クラウドパッチパッケージ v1.0.16. にアップグレードすることをお勧めします。 最新のクラウドパッチパッケージ この問題を修正します。 最新のクラウドパッチパッケージには、以前のパッケージからのすべてのアップグレードが含まれます。

最新のクラウドパッチパッケージにアップグレードする前に、APSB22-12 に関連するカスタムパッチをアンインストールする必要があります。 具体的には、MDVA-43395 および MDVA-43443 パッチ。 これをおこなうには、次の手順に従います。

  1. パッチ MDVA-43395 および MDVA-43443 がインストールされているかどうかを確認します。 次に従う 手順 を使用して、パッチが適用されているかどうかを確認します。
  2. パッチがインストールされている場合は、次の手順に従って それらをアンインストール.
  3. 最新のクラウドパッチパッケージにアップグレードするには、次のコマンドを実行します。 composer update magento/magento-cloud-patches.
  4. コミットしてプッシュ composer.lock および composer.json ファイル。
  5. 再デプロイ。

Adobe CommerceのオンプレミスおよびMagento Open Source向けソリューション

Adobe Commerce オンプレミスまたはMagento Open Sourceで作業している場合、この問題を解決するには、まず MDVA-43395 パッチを適用してから、その上に MDVA-43443 パッチを適用する必要があります。

Adobe Commerceのバージョンに応じて、次のパッチを添付して使用します。

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

Composer パッチの適用方法

ファイルを解凍し、の指示に従います。 Adobeが提供する composer パッチの適用方法.

パッチが適用されているかどうかを知る方法 how-to-tell-whether-the-patches-have-been-applied

問題にパッチが適用されたかどうかを簡単に確認できないので、MDVA-43395 および MDVA-43443 パッチが正常に適用されたかどうかを確認することをお勧めします。

これを行うには、次の手順を実行します。

  1. 品質向上パッチツールのインストール.
  2. 次のコマンドを実行します。 vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. 次の出力が表示されます。MDVA-43395 は 該当なし ステータスが返され、MDVA-43443 は 適用日 ステータス :
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

セキュリティの更新

Adobe Commerceで利用できるセキュリティ更新プログラム:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a