Adobe Commerce 2.4.3 セキュリティパッチのリリースノート

これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。

  • セキュリティバグの修正
  • セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースについて詳しくは、以下を参照してください。

Adobe Commerce 2.4.3-p3

Adobe Commerce 2.4.3-p3 セキュリティリリースは、以前のリリースの 2.4.3 で特定された脆弱性に対するセキュリティ修正を提供します。このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグ修正の最新情報については、を参照してください。 Adobeセキュリティ速報 APSB22-38.

適用 AC-3022.patch 引き続き DHL を配送業者として提供するため

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、 AC-3022.patch 早期に DHL を配送業者として提供し続けることができます。 を参照してください。 配送業者として DHL を引き続き提供するためのパッチを適用する パッチのダウンロードとインストールについては、ナレッジベースの記事を参照してください。

セキュリティのハイライト

  • ACL リソースがインベントリに追加されました。
  • 在庫テンプレートのセキュリティが強化されました。

Adobe Commerce 2.4.3-p2

Adobe Commerce 2.4.3-p2 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグ修正の最新情報については、を参照してください。 Adobeセキュリティ速報 APSB22-13. また、パッチリリースでは、次の方法で対処できる脆弱性も解決されています。 MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip,MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch、および MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.

適用 AC-3022.patch 引き続き DHL を配送業者として提供するため

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、 AC-3022.patch 早期に DHL を配送業者として提供し続けることができます。 を参照してください。 配送業者として DHL を引き続き提供するためのパッチを適用する パッチのダウンロードとインストールについては、ナレッジベースの記事を参照してください。

セキュリティのハイライト

  • メール変数の使用は、セキュリティリスク軽減の一環として 2.3.4 に廃止され、より厳密な変数構文に置き換わりました。 このレガシー動作は、そのセキュリティリスク軽減の続きとして、このリリースでは完全に削除されています。

    その結果、Adobe Commerce 2.4.3-p2 にアップグレードすると、以前のバージョンで機能していたメールまたはニュースレターのテンプレートが正しく機能しなくなる場合があります。 影響を受けるテンプレートには、管理者の上書き、テーマ、子テーマ、カスタムモジュールまたはサードパーティの拡張機能のテンプレートが含まれます。 を使用した後でも、デプロイメントに影響する可能性があります 互換性アップグレードツール 廃止された使用方法を修正します。 参照: カスタムメールテンプレートの移行 影響を受ける可能性のあるテンプレートの移行に関する影響およびガイドラインについて説明します。

  • OAuth アクセストークンとパスワードリセットトークンが、データベースに保存される際に暗号化されるようになりました。

  • 英数字ではないファイル拡張子のアップロードを防ぐために、検証が強化されました。

  • Adobe Commerceが実稼動モードの場合、Swagger がデフォルトで無効になりました。

  • 開発者は、Adobe Commerce RESTful エンドポイントで受け入れられる配列のサイズ制限を、エンドポイントごとに設定できるようになりました。 参照: API セキュリティ.

  • ユーザーが web API を使用してシステム全体でリクエストできるリソースのサイズと数を制限し、個々のモジュールのデフォルトを上書きするメカニズムを追加しました。 この機能強化により、が対処した問題が解決します MC-43048__set_rate_limits__2.4.3.patch. 参照: API セキュリティ.

2.4.3-p1

Adobe Commerce 2.4.3-p1 セキュリティリリースでは、前のリリース(Adobe Commerce 2.4.3 およびMagento Open Source 2.4.3)で特定された脆弱性のセキュリティバグが修正されています。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグ修正の最新情報については、を参照してください。 Adobeセキュリティ速報 APSB21-86. パッチリリースでは、のバグ修正も提供されています Braintree, クラルナ、および 頂点 ベンダー開発の拡張機能。

適用 AC-3022.patch 引き続き DHL を配送業者として提供するため

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、 AC-3022.patch 早期に DHL を配送業者として提供し続けることができます。 を参照してください。 配送業者として DHL を引き続き提供するためのパッチを適用する パッチのダウンロードとインストールについては、ナレッジベースの記事を参照してください。

ホットフィックス

このリリースには、次のホットフィックスと、前のパッチリリース用にリリースされたすべてのホットフィックスが含まれています。

セキュリティのハイライト

セッション ID がデータベースから削除されました. このコードの変更により、マーチャントがデータベースに保存されている生のセッション ID を使用するカスタマイズまたはインストールされた拡張機能を持っている場合、重大な変更が発生する可能性があります。

Media Gallery フォルダーへの制限付き管理者アクセス. Media Gallery のデフォルトの権限では、設定で明示的に許可されているディレクトリ操作(表示、アップロード、削除、作成)のみが許可されるようになりました。 管理者ユーザーは、の外部にアップロードされたメディアギャラリーを通じてメディアアセットにアクセスできなくなりました catalog/category または wysiwyg ディレクトリ。 メディアアセットにアクセスする管理者は、明示的に許可されたフォルダーに移動するか、設定を調整する必要があります。 参照: Media Library フォルダーの権限の変更.

GraphQL クエリの複雑さの制限を緩和. サービス拒否(DOS)攻撃を防ぐために、GraphQLで許可されるクエリの最大複雑度が低下しました。 参照: GraphQLのセキュリティ設定.

最近の侵入テストの脆弱性 このリリースでは修正されました。

サポートされていないソース式 unsafe-inline はコンテンツセキュリティポリシーから削除されました frame-ancestors ディレクティブ。 GitHub-33101

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f