Adobe Commerce 2.4.4 セキュリティパッチのリリースノート

これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。

  • セキュリティバグの修正
  • セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースについて詳しくは、以下を参照してください。

2.4.4-p11

Adobe Commerce 2.4.4-p11 セキュリティリリースは、2.4.4 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-73 を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノートを参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係(7.3​)を使用するようになりました。

    • TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました​

    • TinyMCE 5.10 で報告されているセキュリティの脆弱性(CVE-2024-38357)があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
  • Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js (2.3.7)が使用されるようになりました。

    • Require.js 2.3.6 でセキュリティの脆弱性(CVE-2024-38999)が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
これらのアップデートは後方互換性があるため、カスタマイズや拡張機能には影響しません​

2.4.4-p10

Adobe Commerce 2.4.4-p10 セキュリティリリースは、2.4.4 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-61 を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • one-time passwords のレート制限:two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。

    • 二要素認証の再試行制限
    • 二要素認証ロックアウト時間(秒)

    Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 設定リファレンスガイドセキュリティ/2FA を参照してください。

  • 暗号化キーのローテーション:新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、 暗号化キーのローテーションのトラブルシューティング:CVE-2024-34102 ナレッジベースの記事を参照してください。

  • CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。

  • CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。

このリリースに含まれるホットフィックス

このリリースには、次のホットフィックスが含まれています。

2.4.4-p9

Adobe Commerce 2.4.4-p9 セキュリティリリースは、以前のリリースの 2.4.4 で特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-40 を参照してください。

CVE-2024-34102 のホットフィックスを適用する

IMPORTANT
これは、CVE-2024-34102 に関する前回のお知らせの緊急の更新です。 Adobeでは、CVE-2024-34102 がAdobe Commerceのマーチャントを対象とした非常に限られた攻撃で悪用されていることを認識しています。 脆弱性を解決していない場合は、直ちに対策を講じてください。

2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを適用していないお客様の場合:

オプション 1:

  1. 2024 年 6 月 11 日(PT)にリリースされたセキュリティパッチの 1 つを適用します。

  2. 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。

  3. 回転暗号化キー。

オプション 2:

  1. 分離パッチを適用します。

  2. 回転暗号化キー。

2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを既に適用しているお客様の場合:

  1. 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。

  2. 回転暗号化キー。

既に 1 の場合) 2024 年 6 月 11 日にリリースされたセキュリティパッチを適用した場合、または 2 の場合) 2024 年 6 月 28 日にリリースされた分離パッチ、および 3 の場合)暗号化キーをローテーションした場合:

  1. 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。

Platform のアップグレード

  • MariaDB 10.5 のサポート。 このパッチリリースでは、MariaDB バージョン 10.5 との互換性が導入されています。Adobe Commerceは MariaDB バージョン 10.4 と引き続き互換性がありますが、MariaDB 10.4 のメンテナンスは 2024 年 6 月 18 日(PT)に終了するため、Adobeでは、Adobe Commerce 2.4.4-p9 および今後のすべての 2.4.4 のセキュリティ専用パッチリリースは MariaDB バージョン 10.5 でのみ使用することをお勧めします。

ハイライト

  • 支払いページでのスクリプトの整合性の検証に関する PCI 4.0 要件に準拠するために、Subresource Integrity (SRI)のサポートを追加 しました。 サブリソースの整合性(SRI)のサポートは、ローカルファイルシステムに存在するすべてのJavaScript アセットの整合性ハッシュを提供します。 デフォルトの SRI 機能は、管理エリアとストアフロントエリアの支払いページにのみ実装されています。 ただし、マーチャントは、デフォルトの設定を他のページに拡張できます。 詳しくは、Commerce PHP 開発者ガイドの サブリソースの整合性を参照してください.

  • コンテンツセキュリティポリシー(CSP)の変更 - PCI 4.0 の要件に準拠するためのAdobe Commerce コンテンツセキュリティポリシー(CSP)の設定の更新と機能強化。 詳しくは、Commerce PHP 開発者ガイドの コンテンツセキュリティポリシーを参照してください。

    • Commerce管理エリアとストアフロントエリアの支払いページ用のデフォルトの CSP 設定が restrict モードになりました。 その他のすべてのページでは、デフォルト設定は report-only モードです。 2.4.7 より前のリリースでは、CSP はすべてのページに対して report-only モードで設定されていました。

    • CSP でインラインスクリプトの実行を許可する nonce プロバイダーを追加しました。 nonce プロバイダーは、各リクエストに対して一意の nonce 文字列を容易に生成できるようにします。 その後、文字列が CSP ヘッダーにアタッチされます。

    • 管理の注文を作成ページとストアフロントのチェックアウトページの CSP 違反をレポートするカスタム URI を設定するオプションを追加しました。 設定を追加するには、管理者から、または URI を config.xml ファイルに追加します。

      note note
      NOTE
      CSP 設定を restrict モードに更新すると、管理およびストアフロントの支払いページで既存のインラインスクリプトがブロックされる可能性があり、ページの読み込み時に次のブラウザーエラーが発生します。Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 許可リスト設定を更新して、必要なスクリプトを許可することで、これらのエラーを修正します。 2}Commerce PHP 開発者ガイドトラブルシューティング を参照してください。

2.4.4-p8

Adobe Commerce 2.4.4-p8 セキュリティリリースは、Adobe Commerce 2.4.4 デプロイメントのセキュリティバグを修正します。 これらのアップデートにより、以前のリリースで特定された脆弱性が修正されます。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-18 を参照してください。

2.4.4-p7

Adobe Commerce 2.4.4-p7 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-03 を参照してください。

ハイライト

このリリースでは、次の 2 つの重要なセキュリティ機能強化が導入されています。

  • 生成されないキャッシュキーの動作の変更:

    • ブロックの生成されないキャッシュキーに、自動的に生成されるキーのプレフィックスとは異なるプレフィックスが含まれるようになりました。 (生成されないキャッシュキーは、テンプレートディレクティブ構文または setCacheKey または setData メソッドで設定されるキーです)。
    • ブロックの生成されないキャッシュキーには、文字、数字、ハイフン(–)、アンダースコア(_)のみを含める必要があります。
  • 自動生成されたクーポンコード数の制限。 Commerceでは、自動生成されるクーポンコードの数を制限するようになりました。 デフォルトの最大値は 250,000 です。 マーチャントは、新しい Code Quantity Limit 設定オプション(Stores/Settings:Configuration/Customers/Promotions)を使用して、この新しい制限を制御できます。

2.4.4-p6

Adobe Commerce 2.4.4-p6 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB23-50 を参照してください。

このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

ハイライト

このリリースでは、{BASE-URL}/page_cache/block/esi HTTP エンドポイントに伴うリスクを軽減するのに役立つ、新しいフルページキャッシュ設定が導入されています。 このエンドポイントは、Commerceのレイアウトハンドルおよびブロック構造から無制限で動的に読み込まれるコンテンツフラグメントをサポートしています。 新しい Handles Param 設定では、このエンドポイントの handles パラメーターの値を設定します。このパラメーターによって、API あたりの最大ハンドル数が決定されます。 このプロパティのデフォルト値は 100 です。 マーチャントは、管理者(Stores/Settings: Configuration/System/Full Page Cache/Handles Param)からこの値を変更できます。

既知の問題

問題:repo.magento.com から Composer によるダウンロード中にAdobe Commerceで wrong checksum エラーが表示され、パッケージのダウンロードが中断される。 この問題は、プレリリース時に使用可能になったリリースパッケージのダウンロード中に発生する可能性があります。これは、magento/module-page-cache パッケージの再パッケージ化が原因です。

回避策:ダウンロード中にこのエラーが表示されたマーチャントは、次の手順を実行できます。

  1. プロジェクト内に /vendor ディレクトリが存在する場合は、削除します。
  2. bin/magento composer update magento/module-page-cache コマンドを実行します。 このコマンドは、page cache パッケージのみを更新します。

チェックサムの問題が解決しない場合は、bin/magento composer update コマンドを再実行する前に composer.lock ファイルを削除し、すべてのパッケージを更新します。

2.4.4-p5

Adobe Commerce 2.4.4-p5 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB23-42 を参照してください。

CVE-2022-31160 のホットフィックスを適用する

jQuery-UI library バージョン 1.13.1 には、複数のバージョンのAdobe CommerceおよびMagento Open Sourceに影響する既知のセキュリティ脆弱性(CVE-2022-31160)があります。 このライブラリは、Adobe CommerceとMagento Open Source 2.4.4、2.4.5、2.4.6 の依存関係です。影響を受けるデプロイメントを実行しているマーチャントは、ナレッジベース記事の 2.4.4、2.4.5、2.4.6 リリースの jQuery UI のセキュリティ脆弱性 CVE-2022-31160 の修正で指定されたパッチを適用する必要あります。

2.4.4-p4

Adobe Commerce 2.4.4-p4 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるためのセキュリティ機能強化とプラットフォームアップグレードも含まれています。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB23-35 を参照してください。

CVE-2022-31160 のホットフィックスを適用する

jQuery-UI library バージョン 1.13.1 には、複数のバージョンのAdobe CommerceおよびMagento Open Sourceに影響する既知のセキュリティ脆弱性(CVE-2022-31160)があります。 このライブラリは、Adobe CommerceとMagento Open Source 2.4.4、2.4.5、2.4.6 の依存関係です。影響を受けるデプロイメントを実行しているマーチャントは、ナレッジベース記事の 2.4.4、2.4.5、2.4.6 リリースの jQuery UI のセキュリティ脆弱性 CVE-2022-31160 の修正で指定されたパッチを適用する必要あります。

ハイライト

isEmailAvailable GraphQL クエリと(V1/customers/isEmailAvailable) REST エンドポイントのデフォルトの動作が変更されました。 デフォルトでは、API は常に true を返すようになりました。 マーチャントは、元の動作を有効にすることができます。これは、メールがデータベースに存在しない場合は true を返し、存在する場合は false を返します。

Platform のアップグレード

このリリースのプラットフォームのアップグレードにより、最新のセキュリティのベストプラクティスへのコンプライアンスが向上します。

  • Varnish cache 7.3 のサポート。 このリリースは、最新バージョンの Varnish Cache 7.3 と互換性があります。6.0.x および 7u.2.x バージョンとの互換性は維持されますが、Adobeでは、Adobe Commerce 2.4.4-p4 を Varnish Cache バージョン 7.3 またはバージョン 6.0 LTS でのみ使用することをお勧めします。

  • RabbitMQ 3.11 サポート。 このリリースは最新バージョンのRabbitMQ 3.11 と互換性があります。互換性はRabbitMQ 3.9 に残っています。このバージョンは 2023 年 8 月までサポートされます。ただし、Adobeでは、Adobe Commerce 2.4.4-p4 をRabbitMQ 3.11 でのみ使用することをお勧めします。

  • JavaScript ライブラリ。 古いJavaScript ライブラリは、moment.js ライブラリ(v2.29.4)、jQuery UI ライブラリ(v1.13.2)、jQuery validation プラグインライブラリ(v1.19.5)など、最新のマイナーバージョンまたはパッチバージョンにアップグレードされています。

2.4.4-p3

Adobe Commerce 2.4.4-p3 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB23-17 を参照してください。

2.4.4-p2

Adobe Commerce 2.4.4-p2 セキュリティリリースは、以前のリリースで特定された脆弱性の修正を提供します。 1 つの修正には、新しい設定の作成が含まれます。 「メールが変更された場合、メールによる確認を要求する」設定を使用すると、管理者ユーザーがメールアドレスを変更したときに、管理者がメールによる確認を要求できます。

セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB22-48 を参照してください。

AC-3022.patch を適用して、引き続き配送業者として DHL を提供します

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、DHL を配送業者として引き続き提供するために、できるだけ早い時期に AC-3022.patch を適用する必要があります。 パッチのダウンロードとインストールについては、ナレッジベースの記事 DHL を引き続き配送業者として提供するためのパッチを適用するを参照してください。

2.4.4-p1

Adobe Commerce 2.4.4-p1 セキュリティリリースは、以前のリリースで特定された脆弱性の修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるためのセキュリティの機能強化も含まれています。

セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報.t を参照してください

配送業者として DHL を引き続き提供するには、AC-3022.patch を適用してください

DHL ではスキーマバージョン 6.2 を導入しており、近い将来、スキーマバージョン 6.0 を廃止する予定です。 DHL 統合をサポートするAdobe Commerce 2.4.4 以前のバージョンは、バージョン 6.0 のみをサポートしています。これらのリリースをデプロイするマーチャントは、DHL を配送業者として引き続き提供するために、できるだけ早い時期に AC-3022.patch を適用する必要があります。 パッチのダウンロードとインストールについては、ナレッジベースの記事 DHL を引き続き配送業者として提供するためのパッチを適用するを参照してください。

ハイライト

このリリースのセキュリティの強化により、次のような最新のセキュリティのベストプラクティスへのコンプライアンスが向上しています。

  • ACL リソースがインベントリに追加されました。
  • 在庫テンプレートのセキュリティが強化されました。

既知の問題

問題:2.4.4-p1 パッケージ([2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69)で web API および統合テストを実行すると、次のエラーが表示されます。 回避策:require monolog/monolog:2.6.0 コマンドを実行して、以前のバージョンの Monolog をインストールします。

問題:Adobe Commerce 2.4.4 からAdobe Commerce 2.4.4-p1 にアップグレードする際に、マーチャントがパッケージのバージョンのダウングレードに関する通知に気付く場合があります。 これらのメッセージは無視できます。 パッケージバージョンの不一致は、パッケージ生成時の異常値が原因で発生します。 製品の機能に影響はありません。 影響を受けるシナリオと回避策の説明については、ナレッジベースの記事 2.4.4 から 2.4.4-p1 へのアップグレード後にダウングレードされたパッケージを参照してください。

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f