Adobe Commerce 2.4.6 セキュリティパッチのリリースノート
これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。
- セキュリティバグの修正
- セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
- 既知の問題
- 必要に応じて追加のパッチを適用する手順
- リリースに含まれるホットフィックスに関する情報
セキュリティパッチリリースについて詳しくは、以下を参照してください。
- Adobe Commerce セキュリティパッチリリースの概要
- セキュリティパッチリリースのダウンロードと適用の手順については、 アップグレードガイドを参照してください
2.4.6-p8
Adobe Commerce 2.4.6-p8 セキュリティリリースは、2.4.6 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-73 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係(7.3)を使用するようになりました。
-
TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました
-
TinyMCE 5.10 で報告されているセキュリティの脆弱性(CVE-2024-38357)があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js (2.3.7)が使用されるようになりました。
-
Require.js 2.3.6 でセキュリティの脆弱性(CVE-2024-38999)が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
このリリースに含まれるホットフィックス
このリリースには、Braintree決済ゲートウェイの問題を解決するためのホットフィックスが含まれています。
Braintreeを支払い窓口として使用する場合、3DS VISA の委任要件を満たすために必要なフィールドが含まれるようになりました。 これにより、すべての取引が VISA によって設定された最新のセキュリティ標準に準拠するようになります。 以前は、これらの追加フィールドは送信された支払い情報に含まれていなかったので、新しい VISA 要件に準拠していない可能性がありました。
2.4.6-p7
Adobe Commerce 2.4.6-p7 セキュリティリリースは、2.4.6 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-61 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
one-time passwords のレート制限:two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。
- 二要素認証の再試行制限
- 二要素認証ロックアウト時間(秒)
Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 設定リファレンスガイド の セキュリティ/2FA を参照してください。
-
暗号化キーのローテーション:新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、 暗号化キーのローテーションのトラブルシューティング:CVE-2024-34102 ナレッジベースの記事を参照してください。
-
CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。
-
CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。
このリリースに含まれるホットフィックス
このリリースには、次のホットフィックスが含まれています。
-
Google マップが PageBuilder エディターで正しくレンダリングされないJavaScript エラーを解決するためのホットフィックス。 詳しくは、Google マップの改訂版パッチのすべてのAdobe Commerce バージョンのアクセス損失ナレッジベース記事を参照してください。
-
CVE-2024-34102 に関連する JSON web トークン(JWT)検証の問題を解決するためのホットフィックス。 詳しくは、ナレッジベースの記事 Adobe Commerce-APSB24-40 用のセキュリティアップデートを参照してください。
2.4.6-p6
Adobe Commerce 2.4.6-p6 セキュリティリリースは、以前のリリースの 2.4.6 で特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-40 を参照してください。
Commerce バージョン 2.4.6-p6 との互換性を保つには、Adobe Commerce B2B 拡張機能を持つマーチャントが、B2B バージョン 1.4.2-p1 にアップグレードする必要があります。
CVE-2024-34102 のホットフィックスを適用する
2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを適用していないお客様の場合:
オプション 1:
オプション 2:
2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを既に適用しているお客様の場合:
既に 1 の場合) 2024 年 6 月 11 日にリリースされたセキュリティパッチを適用した場合、または 2 の場合) 2024 年 6 月 28 日にリリースされた分離パッチ、および 3 の場合)暗号化キーをローテーションした場合:
- 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。
Commerce バージョン 2.4.6-p6 との互換性を保つには、Adobe Commerce B2B 拡張機能を持つマーチャントが、B2B バージョン 1.4.2-p1 にアップグレードする必要があります。
ハイライト
-
支払いページでのスクリプトの整合性の検証に関する PCI 4.0 要件に準拠するために、Subresource Integrity (SRI)のサポートを追加 しました。 サブリソースの整合性(SRI)のサポートは、ローカルファイルシステムに存在するすべてのJavaScript アセットの整合性ハッシュを提供します。 デフォルトの SRI 機能は、管理エリアとストアフロントエリアの支払いページにのみ実装されています。 ただし、マーチャントは、デフォルトの設定を他のページに拡張できます。 詳しくは、Commerce PHP 開発者ガイドの サブリソースの整合性を参照してください.
-
コンテンツセキュリティポリシー(CSP)の変更 - PCI 4.0 の要件に準拠するためのAdobe Commerce コンテンツセキュリティポリシー(CSP)の設定の更新と機能強化。 詳しくは、Commerce PHP 開発者ガイドの コンテンツセキュリティポリシーを参照してください。
-
Commerce管理エリアとストアフロントエリアの支払いページ用のデフォルトの CSP 設定が
restrictモードになりました。 その他のすべてのページでは、デフォルト設定はreport-onlyモードです。 2.4.7 より前のリリースでは、CSP はすべてのページに対してreport-onlyモードで設定されていました。 -
CSP でインラインスクリプトの実行を許可する nonce プロバイダーを追加しました。 nonce プロバイダーは、各リクエストに対して一意の nonce 文字列を容易に生成できるようにします。 その後、文字列が CSP ヘッダーにアタッチされます。
-
管理の注文を作成ページとストアフロントのチェックアウトページの CSP 違反をレポートするカスタム URI を設定するオプションを追加しました。 設定を追加するには、管理者から、または URI を
config.xmlファイルに追加します。note note NOTE CSP 設定を restrictモードに更新すると、管理およびストアフロントの支払いページで既存のインラインスクリプトがブロックされる可能性があり、ページの読み込み時に次のブラウザーエラーが発生します。Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 許可リスト設定を更新して、必要なスクリプトを許可することで、これらのエラーを修正します。 2}Commerce PHP 開発者ガイドトラブルシューティング を参照してください。
-
2.4.6-p5
Adobe Commerce 2.4.6-p5 セキュリティリリースは、以前のリリースの 2.4.6 で特定された脆弱性に対するセキュリティバグ修正を提供します。
これらの修正の最新情報については、Adobeセキュリティ速報 APSB24-18 を参照してください。
2.4.6-p4
Adobe Commerce 2.4.6-p4 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-03 を参照してください。
ハイライト
このリリースでは、次の 2 つの重要なセキュリティ機能強化が導入されています。
-
生成されないキャッシュキーの動作の変更:
- ブロックの生成されないキャッシュキーに、自動的に生成されるキーのプレフィックスとは異なるプレフィックスが含まれるようになりました。 (生成されないキャッシュキーは、テンプレートディレクティブ構文または
setCacheKeyまたはsetDataメソッドで設定されるキーです)。 - ブロックの生成されないキャッシュキーには、文字、数字、ハイフン(–)、アンダースコア(_)のみを含める必要があります。
- ブロックの生成されないキャッシュキーに、自動的に生成されるキーのプレフィックスとは異なるプレフィックスが含まれるようになりました。 (生成されないキャッシュキーは、テンプレートディレクティブ構文または
-
自動生成されたクーポンコード数の制限。 Commerceでは、自動生成されるクーポンコードの数を制限するようになりました。 デフォルトの最大値は 250,000 です。 マーチャントは、新しい Code Quantity Limit 設定オプション(Stores/Settings:Configuration/Customers/Promotions)を使用して、この新しい制限を制御できます。
2.4.6-p3
Adobe Commerce 2.4.6-p3 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるためのセキュリティの機能強化も含まれています。
セキュリティの修正に関する最新情報については、Adobeセキュリティ速報 APSB23-50 を参照してください。
ハイライト
このリリースでは、{BASE-URL}/page_cache/block/esi HTTP エンドポイントに伴うリスクを軽減するのに役立つ、新しいフルページキャッシュ設定が導入されています。 このエンドポイントは、Commerceのレイアウトハンドルおよびブロック構造から無制限で動的に読み込まれるコンテンツフラグメントをサポートしています。 新しい Handles Param 設定では、このエンドポイントの handles パラメーターの値を設定します。このパラメーターによって、API あたりの最大ハンドル数が決定されます。 このプロパティのデフォルト値は 100 です。 マーチャントは、管理者(Stores/Settings:Configuration/System/Full Page Cache/Handles Param)からこの値を変更できます。
このリリースに含まれるホットフィックス
Adobe Commerce 2.4.6-p3 には、パッチ ACSD-51892 によって修正された、パフォーマンスの低下の解決策が含まれています。 マーチャントは、このパッチで対処される問題の影響を受けません。詳しくは、ナレッジベースの記事 ACSD-51892:設定ファイルが複数回読み込まれるパフォーマンスの問題を参照してください。
既知の問題
問題:repo.magento.com から Composer によるダウンロード中にAdobe Commerceに wrong checksum エラーが表示され、パッケージのダウンロードが中断される。 この問題は、プレリリース期間中に使用可能になったリリースパッケージのダウンロード中に発生する可能性があり、magento/module-page-cache パッケージの再パッケージ化が原因です。
回避策:ダウンロード中にこのエラーが表示されたマーチャントは、次の手順を実行できます。
- プロジェクト内に
/vendorディレクトリが存在する場合は、削除します。 bin/magento composer update magento/module-page-cacheコマンドを実行します。 このコマンドは、page cacheパッケージのみを更新します。
チェックサムの問題が解決しない場合は、bin/magento composer update コマンドを再実行する前に composer.lock ファイルを削除し、すべてのパッケージを更新します。
2.4.6-p2
Adobe Commerce 2.4.6-p2 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 また、このリリースでは、最新のセキュリティのベストプラクティスへの準拠を強化するためのセキュリティの機能強化も行っています。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB23-42 を参照してください。
CVE-2022-31160 のホットフィックスを適用する
jQuery-UI library バージョン 1.13.1 には、複数のバージョンのAdobe CommerceおよびMagento Open Sourceに影響する既知のセキュリティ脆弱性(CVE-2022-31160)があります。 このライブラリは、Adobe CommerceとMagento Open Source 2.4.4、2.4.5、2.4.6 の依存関係です。影響を受けるデプロイメントを実行しているマーチャントは、ナレッジベース記事の 2.4.4、2.4.5、2.4.6 リリースの jQuery UI のセキュリティ脆弱性 CVE-2022-31160 の修正で指定されたパッチを適用する必要あります。
ハイライト
nginx.sample ファイルの fastcgi_pass の値は、その前(2.4.6-p1 以前)の fastcgi_backend の値に返されました。 Adobe Commerce 2.4.6-p1 では、この値が誤って php-fpm:9000 に変更されていました。
このリリースに含まれるホットフィックス
Adobe Commerce 2.4.6-p2 には、パッチ ACSD-51892 によって対処されたパフォーマンスの低下の解決が含まれています。 マーチャントは、このパッチで対処される問題の影響を受けません。詳しくは、ナレッジベースの記事 ACSD-51892:設定ファイルが複数回読み込まれるパフォーマンスの問題を参照してください。
2.4.6-p1
Adobe Commerce 2.4.6-p1 セキュリティリリースは、以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるためのセキュリティ機能強化とプラットフォームアップグレードも含まれています。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB23-35 を参照してください。
CVE-2022-31160 のホットフィックスを適用する
jQuery-UI library バージョン 1.13.1 には、複数のバージョンのAdobe CommerceおよびMagento Open Sourceに影響する既知のセキュリティ脆弱性(CVE-2022-31160)があります。 このライブラリは、Adobe CommerceとMagento Open Source 2.4.4、2.4.5、2.4.6 の依存関係です。影響を受けるデプロイメントを実行しているマーチャントは、Query UI セキュリティ脆弱性 CVE-2022-31160 の 2.4.4、2.4.5、2.4.6 リリースの修正ナレッジベース記事で指定されたパッチを適用する必要があります。
ハイライト
isEmailAvailable GraphQL クエリと(V1/customers/isEmailAvailable) REST エンドポイントのデフォルトの動作が変更されました。 デフォルトでは、API は常に true を返すようになりました。 マーチャントは、元の動作を有効にすることができます。これは、メールがデータベースに存在しない場合は true を返し、存在する場合は false を返します。
Platform のアップグレード
このリリースのプラットフォームのアップグレードにより、最新のセキュリティのベストプラクティスへのコンプライアンスが向上します。
-
Varnish cache 7.3 のサポート。 このリリースは、最新バージョンの Varnish Cache 7.3 と互換性があります。6.0.x および 7.2.x バージョンとの互換性は維持されますが、Adobeでは、Adobe Commerce 2.4.6-p1 を使用して、Varnish Cache バージョン 7.3 またはバージョン 6.0 LTS のみを使用することをお勧めします。
-
RabbitMQ 3.11 サポート。 このリリースは最新バージョンのRabbitMQ 3.11 と互換性があります。互換性はRabbitMQ 3.9 に残っています。このバージョンは 2023 年 8 月までサポートされますが、Adobeでは、Adobe Commerce 2.4.6-p1 をRabbitMQ 3.11 でのみ使用することをお勧めします。
-
JavaScript ライブラリ。 古いJavaScript ライブラリは、
moment.jsライブラリ(v2.29.4)、jQuery UIライブラリ(v1.13.2)、jQueryvalidation プラグインライブラリ(v1.19.5)など、最新のマイナーバージョンまたはパッチバージョンにアップグレードされています。
既知の問題
-
nginx.sampleファイルが、fastcgi_passの値をfastcgi_backendからphp-fpm:9000に変更する変更で誤って更新されました。 この変更は、元に戻しても無視しても問題ありません。 -
B2B セキュリティパッケージの依存関係が見つからない場合、B2B 拡張機能をインストールまたは 1.4.0 にアップグレードする際に、次のインストールエラーが発生します。
code language-none Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.この問題は、 安定タグを備えた B2B セキュリティパッケージの手動依存関係を追加することで解決できます。 詳しくは、B2B リリースノートを参照してください。