Adobe Commerceでセキュリティ更新プログラムを利用できます – APSB24-61
2024 年 8 月 13 日(PT)に、Adobeは、Adobe Commerce、Magento Open Source、Adobe Commerce Webhook プラグインのセキュリティ更新を定期的にスケジュールしてリリースしました。
この更新により、critical, important および moderate の脆弱性が解決されます。 不正利用に成功すると、任意のコードの実行、任意のファイルシステムの読み取り、セキュリティ機能のバイパス、権限のエスカレーションが発生する可能性があります。 掲示板は Adobeセキュリティ速報(APSB24-61)です。
最新のセキュリティ更新プログラムを早急に適用してください。 そうしないと、これらのセキュリティ上の問題に対して脆弱になり、Adobeは修正を支援する手段が限られてしまいます。
影響を受ける製品とバージョン
Adobe Commerce on Cloud、Adobe Commerce オンプレミスおよびMagento Open Source:
- 2.4.7-p1 以前
- 2.4.6-p6 以前
- 2.4.5-p8 以前
- 2.4.4-p9 以前
Adobe Commerce on Cloud、Adobe Commerce オンプレミスのソフトウェアおよびMagento Open Sourceのソリューション
影響を受ける製品およびバージョンの脆弱性を解決するには、CVE-2024-39397 Isolated パッチを適用する必要があります。
個別パッチの詳細
アタッチされた分離パッチを使用します。
分離パッチの適用方法
ファイルを解凍し、サポートナレッジベースで Adobe提供の Composer パッチの適用方法を参照して手順を確認します。
Adobe Commerce on Cloud マーチャントの場合のみ – 分離パッチが適用されているかどうかを確認する方法
問題にパッチが適用されたかどうかを簡単に確認することはできないので、CVE-2024-39397 Isolated パッチが正常に適用されたかどうかを確認することをお勧めします。
これは、ファイル VULN-27015-2.4.7_COMPOSER.patch を例として使用し、次の手順を実行することで実行できます 。
-
次のコマンドを実行します。
-
VULN-27015 が Applied ステータスを返す、次のような出力が表示されます。
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom