Adobe Commerceでセキュリティアップデートを利用できます – APSB24-40
注意 : **これは CVE-2024-34102 に関連する緊急の更新です。 Adobeは、CVE-2024-34102 がAdobe Commerceのマーチャントを対象とした非常に限られた攻撃で悪用されていることを認識しています。
2024 年 7 月 17 日(PT)に、2024 年 6 月 11 日(PT)のセキュリティ更新リリース、および 2024 年 6 月 28 日(PT)にリリースされた個別パッチに加えて、ホットフィックスをリリースしました。
すべての実稼動環境および非実稼動環境を確認すると、すべてのインスタンスにストアへのパッチが完全に適用されていることを確認できます。 速やかに対策を講じて下さい
メモ :Cloud マーチャント上のAdobe Commerceの場合のみ:
- ECE ツールの最新バージョンを使用していることを確認してください。 そうでない場合は、をアップグレード(または項目 2 にスキップ)します。 既存のバージョンを確認するには、次のコマンドを実行します:
composer show magento/ece-tools
- 既に最新バージョンの ECE Tools を使用している場合は、
op-exclude.txt
ファイルが存在するかどうかを確認します。 それには、次のコマンドを実行します:ls op-exclude.txt
。 このファイルが存在しない場合は、https://github.com/magento/magento-cloud/blob/master/op-exclude.txtをリポジトリに追加してから、変更をコミットして再デプロイします。 - ECE ツールをアップグレードしなくても、リポジトリでhttps://github.com/magento/magento-cloud/blob/master/op-exclude.txtを追加または変更し、変更をコミットして再デプロイすることもできます。
オプション 1 - 2024 年 6 月 11 日(PT)以降のセキュリティアップデートまたは 2024 年 6 月 28 日(PT)にリリースされた分離パッチを適用していないマーチャントの場合
- 2024 年 7 月 17 日(PT)にリリースされたホットフィックスを適用してください。
- セキュリティパッチを適用します。
- メンテナンスモードを有効にします。
- Cron 実行を無効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:disable
)。 - 暗号化キーのローテーション。
- キャッシュをフラッシュします。
- Cron 実行を有効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:enable
)。 - メンテナンスモードを無効にします。
または
- 分離パッチを適用します。 注意 : このバージョンの分離パッチには、2024 年 7 月 17 日(PT)のホットフィックスが含まれています。
- メンテナンスモードを有効にします。
- Cron 実行を無効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:disable
)。 - 暗号化キーのローテーション。
- キャッシュをフラッシュします。
- Cron 実行を有効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:enable
)。 - メンテナンスモードを無効にします。
オプション 2 - 2024 年 6 月 11 日(PT)以降にセキュリティ更新プログラムを既に適用しているマーチャント、および 2024 年 6 月 28 日(PT)にリリースされた分離パッチの適用
- 2024 年 7 月 17 日(PT)にリリースされたホットフィックスを適用してください。
- メンテナンスモードを有効にします。
- Cron 実行を無効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:disable
)。 - 暗号化キーのローテーション。
- キャッシュをフラッシュします。
- Cron 実行を有効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:enable
)。 - メンテナンスモードを無効にします。
オプション 3 – 既に(1) 2024 年 6 月 11 日からセキュリティ更新を適用しているマーチャント、(2) 2024 年 6 月 28 日にリリースされた分離パッチ、(3)暗号化キーをローテーションしたマーチャントの場合
- 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。
注意 : アップグレード後も安全を確保するには、暗号化キーもローテーションする必要があります。
- メンテナンスモードを有効にします。
- Cron 実行を無効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:disable
)。 - 暗号化キーをローテーションします。
- Cron 実行を有効にします(Commerce on Cloud コマンド:
vendor/bin/ece-tools cron:enable
)。 - メンテナンスモードを無効にします。
この記事では、Adobe CommerceとMagento Open Sourceの現在および以前のバージョンに対して、この問題の個別パッチを実装する方法を説明します。
注意 : このバージョンの分離パッチには、2024 年 7 月 17 日(PT)のホットフィックスが含まれています。
説明 description
影響を受ける製品とバージョン
Adobe Commerce on Cloud、Adobe Commerce オンプレミスおよびMagento Open Source:
- 2.4.7-p1 以前
- 2.4.6-p6 以前
- 2.4.5-p8 以前
- 2.4.4-p9 以前
解決策 resolution
Adobe Commerce on Cloud、Adobe Commerce オンプレミスソフトウェアおよびMagento Open Sourceのソリューション
影響を受ける製品とバージョンの脆弱性を解決するには、(バージョンによって異なる) VULN-27015 パッチを適用し、暗号化キーを回転させる必要があります。
ホットフィックスの詳細
- ホットフィックス AC-12485_Hotfix_COMPOSER_patch.zip をダウンロードします。
個別パッチの詳細
注意 : このバージョンの分離パッチには、2024 年 7 月 17 日(PT)のホットフィックスが含まれています。
Adobe Commerce/Magento Open Sourceのバージョンに応じて、次のパッチを添付して使用します。
バージョン 2.4.7 の場合:
バージョン 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5:
バージョン 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7 の場合:
バージョン 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:
分離パッチとホットフィックスの適用方法
ファイルを解凍し、サポートナレッジベースの Adobeが提供する Composer パッチの適用方法を参照してください。
Adobe Commerce on Cloud マーチャントの場合のみ – 分離されたパッチが適用されているかどうかを確認する方法
問題がパッチ適用されたかどうかを簡単に確認することはできないので、VULN-27015 の孤立したパッチが正常に適用されたかどうかを確認することをお勧めします。
これを行うには、例としてファイル VULN-27015-2.4.7_COMPOSER.patch
を使用し、次の手順を実行します。
-
品質向上パッチツールをインストールします。
-
次のコマンドを実行します。
vendor/bin/magento-patches -n status |grep "27015\|Status"
-
VULN-27015 がを返す場合は、次のような出力が表示されます 適用済み ステータス:
table 0-row-6 1-row-6 ID タイトル カテゴリ 作成元 ステータス 詳細 なし …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch その他 ローカル 適用日 パッチタイプ:カスタム
パッチ適用後の暗号化キーのローテーションまたは変更
ガイダンス パッチ適用後の暗号化キーのローテーション/変更方法については、を参照してください Admin Systems Guide:暗号化キー(Commerce Admin Systems Guide ドキュメント)
ストアの保護と暗号化キーの回転に関するその他のガイダンス
CVE-2024-34102 に関する、ストアの保護と暗号化キーのローテーションに関するガイダンスについて詳しくは、Adobe Commerce ナレッジベースの「ストアの保護と暗号化キーのローテーションに関するガイダンス:CVE-2024-34102」を参照してください。
セキュリティの更新
Adobe Commerceで利用できるセキュリティ更新プログラム:
関連資料
Adobe Commerce インストールガイドの メンテナンスモードの有効化または無効化