Adobe Commerceでセキュリティアップデートを利用できます – APSB24-73
2024 年 10 月 8 日(PT)に、Adobeは、Adobe CommerceおよびAdobe Commerce Webhook Plugin のセキュリティ更新を定期的にスケジュールしてリリースしました。 このアップデートにより 重大、重要、および中程度の脆弱性が解決されます。 不正利用に成功すると、任意のコードの実行、任意のファイルシステムの読み取り、セキュリティ機能のバイパス、権限のエスカレーションが発生する可能性があります。 掲示板は Adobe セキュリティ掲示板(APSB24-73)です。
上記のセキュリティ速報に記載されている CVE-2024-45115 は、B2B モジュールを使用する場合にのみ適用されます。 この脆弱性の修正をできる限り迅速に適用できるように、Adobeは CVE-2024-45115 を解決する分離パッチもリリースしました。
注意 :最新のセキュリティ更新プログラムをできるだけ早く適用してください。 そうしないと、これらのセキュリティ上の問題に対して脆弱になり、Adobeが修正を支援する手段が限られてしまいます。
セキュリティパッチ/分離パッチの適用で問題が発生した場合は、サポートサービスにお問い合わせください。
説明 description
対象環境
-
Adobe Commerce on Cloud およびAdobe Commerce オンプレミス:
- 2.4.7-p2 以前
- 2.4.6-p7 以前
- 2.4.5-p9 以前
- 2.4.4-p10 以前
-
B2B:
- 1.4.2-p2 以前
- 1.3.5-p7 以前
- 1.3.4-p9 以前
- 1.3.3-p10 以前
解決策 resolution
Adobe Commerce on Cloud およびAdobe Commerce オンプレミス ソフトウェアの場合
影響を受ける製品およびバージョンの脆弱性を解決するには、CVE-2024-45115 分離パッチを適用する必要があります。
個別パッチの詳細
アタッチされた分離パッチを使用します。
分離パッチの適用方法
ファイルを解凍し、サポートナレッジベースの Adobeが提供する Composer パッチの適用方法を参照してください。
Adobe Commerce on Cloud マーチャントの場合のみ – 分離パッチが適用されているかどうかを確認する方法
問題がパッチ適用されたかどうかを簡単に確認できないので、CVE-2024-45115 分離パッチが正常に適用されたかどうかを確認することをお勧めします。
これを行うには、ファイル VULN-27015-2.4.7_COMPOSER.patch を使用して、次の手順を実行します 例として 。
-
次のコマンドを実行します。
vendor/bin/magento-patches -n status |grep "27015\|Status" -
VULN-27015 が Applied ステータスを返す、次のような出力が表示されます。
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom ║