Adobe Commerceに関するセキュリティアップデート公開 – APSB24-61

2024年8月13日(PT)に、Adobeは、Adobe Commerce、Magento Open Source、Adobe Commerce Webhook Pluginの定期的なセキュリティアップデートをリリースしました。 この更新プログラムは、​ クリティカル、重要、および中度の脆弱性を解決します。 この脆弱性が悪用されると、任意のコード実行、任意のファイルシステムの読み取り、セキュリティ機能のバイパス、権限のエスカレーションにつながる可能性があります。 公開情報はAdobe セキュリティ情報(APSB24-61) ​です。

: CVE-2024-39397 (上記のセキュリティ情報に記載)は、Apache web サーバーを使用する場合にのみ適用されます。 修正を簡単に適用できるように、AdobeはCVE-2024-39397を解決する個別パッチもリリースしました。

最新のセキュリティ更新プログラムをできるだけ早く適用してください。 そうしないと、これらのセキュリティ問題に対して脆弱になり、Adobeは修復を支援する手段が限られています。

注意: セキュリティパッチ/分離パッチの適用に問題が発生した場合は、サポートサービスにお問い合わせください。

説明 description

影響を受ける製品とバージョン

Adobe Commerce on Cloud、Adobe Commerce オンプレミス、およびMagento Open Source:

  • 2.4.7-p1以前
  • 2.4.6-p6以前
  • 2.4.5-p8以前
  • 2.4.4-p9以前

解決策 resolution

Adobe Commerce on Cloud、Adobe Commerce オンプレミスソフトウェア、およびMagento Open Sourceのソリューション

影響を受ける製品とバージョンの脆弱性を解決するには、CVE-2024-39397の分離パッチを適用する必要があります。

分離されたパッチの詳細

次の添付の分離パッチを使用します。

分離パッチの適用方法

ファイルを解凍し、手順については、サポートナレッジベースのAdobeが提供するコンポーザーパッチの適用方法を参照してください。

Adobe Commerce on Cloud マーチャントのみ – 分離されたパッチが適用されているかどうかを確認する方法

問題にパッチが適用されたかどうかを簡単に確認できないことを考慮すると、CVE-2024-39397の分離パッチが正常に適用されたかどうかを確認する必要があります。

これは、ファイル VULN-27015-2.4.7_COMPOSER.patchを例として使用して、次の手順を実行することによって実行できます。

  1. 品質パッチツール ​をインストールします。

  2. コマンドを実行します。

    • vendor/bin/magento-patches -n status |grep "27015\|Status"
  3. VULN-27015が​Applied ステータスを返す場合は、次のような出力が表示されます。

    code language-none
    ║ Id │ Title │ Origin │ Status │ Details ║    ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
    

セキュリティの更新

Adobe Commerceに関するセキュリティアップデート公開:

recommendation-more-help
experience-cloud-kcs-help-kbarticles