Adobe Commerce 2.4.3 セキュリティパッチのリリースノート

これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。

セキュリティパッチリリースについて詳しくは、以下を参照してください。

Adobe Commerce 2.4.3-p3

Adobe Commerce 2.4.3-p3 セキュリティリリースは、以前のリリースの 2.4.3 で特定された脆弱性に対するセキュリティ修正を提供します。このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB22-38 を参照してください。

配送業者として DHL を引き続き提供するには、AC-3022.patch を適用してください

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、DHL を配送業者として引き続き提供するために、できるだけ早い時期に AC-3022.patch を適用する必要があります。 パッチのダウンロードとインストールについては、ナレッジベースの記事 DHL を引き続き配送業者として提供するためのパッチを適用するを参照してください。

セキュリティのハイライト

Adobe Commerce 2.4.3-p2

Adobe Commerce 2.4.3-p2 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB22-13 を参照してください。 また、このパッチリリースでは、MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip、MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip、MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch および MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch によって対処された脆弱性も解決されています。

配送業者として DHL を引き続き提供するには、AC-3022.patch を適用してください

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、DHL を配送業者として引き続き提供するために、できるだけ早い時期に AC-3022.patch を適用する必要があります。 パッチのダウンロードとインストールについては、ナレッジベースの記事 DHL を引き続き配送業者として提供するためのパッチを適用するを参照してください。

セキュリティのハイライト

2.4.3-p1

Adobe Commerce 2.4.3-p1 セキュリティリリースでは、前のリリース（Adobe Commerce 2.4.3 およびMagento Open Source 2.4.3）で特定された脆弱性のセキュリティバグが修正されています。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB21-86 を参照してください。 このパッチリリースでは、ベンダーが開発した Braintree、Klarna および Vertex 拡張機能のバグ修正も提供しています。

配送業者として DHL を引き続き提供するには、AC-3022.patch を適用してください

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、DHL を配送業者として引き続き提供するために、できるだけ早い時期に AC-3022.patch を適用する必要があります。 パッチのダウンロードとインストールについては、ナレッジベースの記事 DHL を引き続き配送業者として提供するためのパッチを適用するを参照してください。

ホットフィックス

このリリースには、次のホットフィックスと、前のパッチリリース用にリリースされたすべてのホットフィックスが含まれています。

セキュリティのハイライト

セッション ID がデータベースから削除されました。 このコードの変更により、マーチャントがデータベースに保存されている生のセッション ID を使用するカスタマイズまたはインストールされた拡張機能を持っている場合、重大な変更が発生する可能性があります。

メディアギャラリーフォルダーへの制限付き管理者アクセス。 Media Gallery のデフォルトの権限では、設定で明示的に許可されているディレクトリ操作（表示、アップロード、削除、作成）のみが許可されるようになりました。 管理者ユーザーは、catalog/category または wysiwyg ディレクトリの外部でアップロードされたメディアギャラリーを介してメディアアセットにアクセスできなくなりました。 メディアアセットにアクセスする管理者は、明示的に許可されたフォルダーに移動するか、設定を調整する必要があります。 Media Library フォルダー権限の変更を参照してください。

GraphQL クエリの複雑さの上限を引き下げ。 サービス拒否（DOS）攻撃を防ぐために、GraphQLで許可されるクエリの最大複雑度が低下しました。 詳しくは、GraphQLのセキュリティ設定を参照してください。

最近の侵入テストの脆弱性 は、このリリースで修正されました。

サポートされていないソース式 unsafe-inline が、コンテンツセキュリティポリシー frame-ancestors ディレクティブから削除されました。 GitHub-33101