Adobe Commerceに関するセキュリティアップデート公開 – APSB24-40

: **これは、CVE-2024-34102に関する緊急の更新です。 Adobeは、CVE-2024-34102がAdobe Commerceのマーチャントを標的とした非常に限定的な攻撃で悪用されていることを認識しています。

2024年7月17日(PT)に、2024年6月11日(PT)にリリースされたセキュリティアップデートリリースおよび/または2024年6月28日(PT)にリリースされた分離パッチに加えて、ホットフィックスをリリースしました。

実稼動環境と実稼動以外のすべての環境を確認して、ストアがすべてのインスタンスで完全にパッチが適用されていることを確認してください。 脆弱性を解決するには、ただちにアクションを実行してください。

メモ : Cloud上のAdobe Commerce マーチャントのみ:

  1. ECE ツールの最新バージョンを使用していることを確認してください。 そうでない場合は、アップグレードしてください(またはアイテム 2にスキップしてください)。 既存のバージョンを確認するには、次のコマンドを実行します:composer show magento/ece-tools
  2. 既に最新バージョンのECE ツールを使用している場合は、op-exclude.txt ファイルが存在するかどうかを確認します。 それには、次のコマンドを実行します:ls op-exclude.txt。 このファイルが存在しない場合は、https://github.com/magento/magento-cloud/blob/master/op-exclude.txtをリポジトリに追加し、変更を確定して再デプロイします。
  3. ECE ツールをアップグレードする必要はなく、リポジトリにhttps://github.com/magento/magento-cloud/blob/master/op-exclude.txtを追加または変更し、変更を確定して再デプロイすることもできます。

オプション 1 - 2024年6月11日からセキュリティ更新プログラムを適用していない販売者、および2024年6月28日にリリースされた個別パッチの販売者

  1. 2024年7月17日にリリースされた修正プログラムを適用します。
  2. セキュリティパッチを適用します。
  3. メンテナンスモードを有効にします。
  4. cron実行を無効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:disable)。
  5. 暗号化キーを回転
  6. キャッシュをフラッシュします。
  7. cron実行を有効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:enable)。
  8. メンテナンスモードを無効にします。

または

  1. 独立したパッチを適用します。 メモ :このバージョンの分離パッチには、2024年7月17日(PT)のホットフィックスが含まれています。
  2. メンテナンスモードを有効にします。
  3. cron実行を無効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:disable)。
  4. 暗号化キーを回転
  5. キャッシュをフラッシュします。
  6. cron実行を有効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:enable)。
  7. メンテナンスモードを無効にします。

オプション 2 - 2024年6月11日から既にセキュリティ更新プログラムを適用している販売者、および/または2024年6月28日にリリースされた分離パッチ

  1. 2024年7月17日にリリースされた修正プログラムを適用します。
  2. メンテナンスモードを有効にします。
  3. cron実行を無効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:disable)。
  4. 暗号化キーを回転
  5. キャッシュをフラッシュします。
  6. cron実行を有効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:enable)。
  7. メンテナンスモードを無効にします。

オプション 3 – 既に(1) 2024年6月11日からセキュリティ更新プログラムを適用している販売者、および(2) 2024年6月28日にリリースされた分離パッチ、および(3)暗号化キーを回転させた販売者

: アップグレード後も安全に使用できるように、暗号化キーも回転させる必要があります:

  1. メンテナンスモードを有効にします。
  2. cron実行を無効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:disable)。
  3. 暗号化キーを回転します。
  4. cron実行を有効にします(Commerce on Cloud コマンド:vendor/bin/ece-tools cron:enable)。
  5. メンテナンスモードを無効にします。

この記事では、現在および以前のバージョンのAdobe CommerceとMagento Open Sourceに対して、この問題に対する個別パッチを実装する方法について説明します。

メモ :このバージョンの分離パッチには、2024年7月17日(PT)のホットフィックスが含まれています。

説明 description

影響を受ける製品とバージョン

Adobe Commerce on Cloud、Adobe Commerce オンプレミス、およびMagento Open Source:

  • 2.4.7-p1以前
  • 2.4.6-p6以前
  • 2.4.5-p8以前
  • 2.4.4-p9以前

解決策 resolution

Adobe Commerce on Cloud、Adobe Commerce オンプレミスソフトウェア、およびMagento Open Sourceのソリューション

影響を受ける製品とバージョンの脆弱性を解決するには、VULN-27015 パッチを適用し(バージョンに応じて)、暗号化キーをローテーションする必要があります。

ホットフィックスの詳細

分離されたパッチの詳細

メモ :このバージョンの分離パッチには、2024年7月17日(PT)のホットフィックスが含まれています。

Adobe Commerce/Magento Open Sourceのバージョンに応じて、次の添付パッチを使用します。

バージョン 2.4.7の場合

バージョン 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5の場合:

バージョン 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7:

バージョン 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:

分離されたパッチとホットフィックスの適用方法

ファイルを解凍し、手順については、サポートナレッジベースのAdobeが提供するコンポーザーパッチの適用方法を参照してください。

Adobe Commerce on Cloud マーチャントのみ – 分離されたパッチが適用されているかどうかを確認する方法

問題にパッチが適用されたかどうかを簡単に確認できないことを考慮すると、VULN-27015の分離されたパッチが正常に適用されたかどうかを確認することをお勧めします。

これは、ファイル VULN-27015-2.4.7_COMPOSER.patchを例として使用して、次の手順を実行することによって実行できます。

  1. 品質パッチツール ​をインストールします。

  2. 次のコマンドを実行します:vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. VULN-27015が​Applied ステータスを返す場合は、次のような出力が表示されます。

    table 0-row-6 1-row-6
    ID タイトル カテゴリ 作成元 ステータス 詳細
    なし …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch その他 ローカル 適用済み パッチタイプ:カスタム

パッチ適用後に暗号化キーを回転/変更する

パッチ適用後に暗号化キーを回転または変更する方法に関するガイダンス については、を参照してください Commerce Admin Systems Guide ドキュメントの管理者システムガイド:暗号化キー

ストアのセキュリティの確保と暗号化キーのローテーションに関する追加ガイダンス

CVE-2024-34102に関するストアの保護と暗号化キーのローテーションに関する追加のガイダンスについては、​ ストアの保護と暗号化キーのローテーションに関するガイダンス:CVE-2024-34102 (Adobe Commerce ナレッジベースも参照)を参照してください。

セキュリティの更新

Adobe Commerceに関するセキュリティアップデート公開:

関連トピックス

Adobe Commerce インストールガイドの​ メンテナンスモードを有効または無効にする

recommendation-more-help
experience-cloud-kcs-help-kbarticles