ドキュメントCommerceCommerce KB

Adobe Commerceでセキュリティ更新プログラムを利用できます – APSB24-40

Last update: Fri Sep 27 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

作成対象:

  • 開発者
NOTE
**CVE-2024-34102 に関する緊急の更新です。 Adobeは、Adobe Commerceの商人を標的にした非常に限られた攻撃で、CVE-2024-34102 が野生で悪用されたことを認識しています。

2024 年 7 月 17 日(PT)に、2024 年 6 月 11 日(PT)のセキュリティ更新リリース、および 2024 年 6 月 28 日(PT)にリリースされた個別パッチに加えて、hotfix をリリースしました。

すべての実稼動環境および非実稼動環境を確認すると、すべてのインスタンスにストアへのパッチが完全に適用されていることを確認できます。 早急な対応 を行い、脆弱性を解決してください。

NOTE
Adobe Commerce on Cloud マーチャントのみ:

1. 最新バージョンの ECE Tools を使用していることを確認してください。 そうでない場合は、をアップグレード(または項目 2 にスキップ)します。 既存のバージョンを確認するには、次のコマンドを実行します:composer show magento/ece-tools
2。 既に最新バージョンの ECE Tools を使用している場合は、op-exclude.txt ファイルが存在するかどうかを確認します。 それには、次のコマンドを実行します。ls op-exclude.txt。このファイルが存在しない場合は、https://github.com/magento/magento-cloud/blob/master/op-exclude.txtをリポジトリに追加し、変更をコミットして再デプロイします。
3。 ECE Tools をアップグレードしなくても、リポジトリでhttps://github.com/magento/magento-cloud/blob/master/op-exclude.txtを追加または変更し、その変更をコミットして再デプロイすることもできます。

オプション 1 - 2024 年 6 月 11 日からセキュリティの更新を適用 ていない マーチャントの場合、または 2024 年 6 月 28 日(PT)にリリースされた分離パッチの適用

  1. 適用 hotfix は 2024 年 7 月 17 日にリリースされました。
  2. セキュリティパッチを適用します。
  3. maintenance mode を有効にします。
  4. cron の実行を無効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:disable)。
  5. encryption keys を回転させます。
  6. キャッシュをフラッシュします。
  7. cron 実行を有効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:enable)。
  8. maintenance mode を無効にします。

または

  1. 分離パッチを適用します。 注意 :このバージョンの分離パッチには、2024 年 7 月 17 日(PT)の hotfix が含まれています。
  2. maintenance mode を有効にします。
  3. cron の実行を無効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:disable)。
  4. encryption keys を回転させます。
  5. キャッシュをフラッシュします。
  6. cron 実行を有効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:enable)。
  7. maintenance mode を無効にします。

オプション 2 - 2024 年 6 月 11 日からセキュリティ更新プログラムを 既に 適用しているマーチャントの場合、および/または 2024 年 6 月 28 日(PT)にリリースされた分離パッチ

  1. 適用 hotfix は 2024 年 7 月 17 日にリリースされました。
  2. maintenance mode を有効にします。
  3. cron の実行を無効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:disable)。
  4. encryption keys を回転させます。
  5. キャッシュをフラッシュします。
  6. cron 実行を有効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:enable)。
  7. maintenance mode を無効にします。

オプション 3 - 既に (1) 2024 年 6 月 11 日からセキュリティ更新を適用しているマーチャント、(2) 2024 年 6 月 28 日にリリースされた分離パッチ、(3)暗号化キーをローテーションしたマーチャント

NOTE
アップグレード後も安全を確保するには、encryption keys:

1 を回転させる必要があります。 maintenance mode を有効にします。
2。 cron の実行を無効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:disable)。
3。 encryption keys を回転します。
4。 cron 実行を有効にします(Cloud コマンド上のCommerce:vendor/bin/ece-tools cron:enable)。
5。 maintenance mode を無効にします。

この記事では、現在および以前のバージョンのAdobe CommerceとMagento Open Sourceに対して、この問題の個別パッチを実装する方法を説明します。
注意 :このバージョンの分離パッチには、2024 年 7 月 17 日(PT)の hotfix が含まれています。

影響を受ける製品とバージョン

Adobe Commerce on Cloud、Adobe Commerce オンプレミスおよびMagento Open Source:

  • 2.4.7-p1 以前
  • 2.4.6-p6 以前
  • 2.4.5-p8 以前
  • 2.4.4-p9 以前

Adobe Commerce on Cloud、Adobe Commerce オンプレミスソフトウェアおよびMagento Open Sourceのソリューション

影響を受ける製品およびバージョンの脆弱性を解決するには、(バージョンに応じて) VULN-27015 パッチを適用し、encryption keys をローテーションする必要があります。

ホットフィックスの詳細 hotfix

個別パッチの詳細

注意 :このバージョンの分離パッチには、2024 年 7 月 17 日(PT)の hotfix が含まれています。

Adobe CommerceまたはMagento Open Sourceのバージョンに応じて、次のパッチを添付して使用します。

バージョン 2.4.7 の場合:

バージョン 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5:

バージョン 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7 の場合:

バージョン 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:

分離パッチと hotfix の適用方法

ファイルを解凍し、サポートナレッジベースで Adobe提供の Composer パッチの適用方法を参照して手順を確認します。

Adobe Commerce on Cloud マーチャントの場合のみ – 分離されたパッチが適用されているかどうかを確認する方法

問題にパッチが適用されたかどうかを簡単に確認することはできないので、VULN-27015 の分離されたパッチが正常に適用されたかどうかを確認することをお勧めします。

これは、ファイル VULN-27015-2.4.7_COMPOSER.patch を例として使用し、次の手順を実行することで実行できます

  1. 品質向上パッチツールのインストール

  2. 次のコマンドを実行します。

    cve-2024-34102-tell-if-patch-applied-code

  3. VULN-27015 が Applied ステータスを返す、次のような出力が表示されます。

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

パッチ適用後に encryption key を回転/変更する

パッチ適用後の encryption key のローテーション/変更方法に関するガイダンス については、Commerce Admin Systems Guide ドキュメントの Admin Systems guide: Encryption key を参照してください。

ストアの保護と暗号化キーの回転に関するその他のガイダンス

ストアの保護と暗号化キーのローテーションに関するその他のガイダンスについては、Adobe Commerce ナレッジベースの ストアの保護と暗号化キーのローテーションに関するガイダンス: CVE-2024-34102 も参照して CVE-2024-34102 ださい。

セキュリティの更新

Adobe Commerceで利用できるセキュリティ更新プログラム:

関連資料

Adobe Commerce インストールガイドの maintenance mode の有効化または無効化

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a