Adobe Commerce 2.4.7 セキュリティパッチのリリースノート
これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。
- セキュリティバグの修正
- セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
- 既知の問題
- 必要に応じて追加のパッチを適用する手順
- リリースに含まれるホットフィックスに関する情報
セキュリティパッチリリースについて詳しくは、以下を参照してください。
- Adobe Commerce セキュリティパッチリリースの概要
- セキュリティパッチリリースのダウンロードと適用の手順については、 アップグレードガイドを参照してください
2.4.7-p3
Adobe Commerce 2.4.7-p3 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-73 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係(7.3)を使用するようになりました。
-
TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました
-
TinyMCE 5.10 で報告されているセキュリティの脆弱性(CVE-2024-38357)があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js (2.3.7)が使用されるようになりました。
-
Require.js 2.3.6 でセキュリティの脆弱性(CVE-2024-38999)が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
このリリースに含まれるホットフィックス
このリリースには、Braintree決済ゲートウェイの問題を解決するためのホットフィックスが含まれています。
Braintreeを支払い窓口として使用する場合、3DS VISA の委任要件を満たすために必要なフィールドが含まれるようになりました。 これにより、すべての取引が VISA によって設定された最新のセキュリティ標準に準拠するようになります。 以前は、これらの追加フィールドは送信された支払い情報に含まれていなかったので、新しい VISA 要件に準拠していない可能性がありました。
2.4.7-p2
Adobe Commerce 2.4.7-p2 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-61 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
one-time passwords のレート制限:two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。
- 二要素認証の再試行制限
- 二要素認証ロックアウト時間(秒)
Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 設定リファレンスガイド の セキュリティ/2FA を参照してください。
-
暗号化キーのローテーション:新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、 暗号化キーのローテーションのトラブルシューティング:CVE-2024-34102 ナレッジベースの記事を参照してください。
-
CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。
-
CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。
このリリースに含まれるホットフィックス
このリリースには、次のホットフィックスが含まれています。
-
Google マップが PageBuilder エディターで正しくレンダリングされないJavaScript エラーを解決するためのホットフィックス。 詳しくは、Google マップの改訂版パッチのすべてのAdobe Commerce バージョンのアクセス損失ナレッジベース記事を参照してください。
-
CVE-2024-34102 に関連する JSON web トークン(JWT)検証の問題を解決するためのホットフィックス。 詳しくは、ナレッジベースの記事 Adobe Commerce-APSB24-40 用のセキュリティアップデートを参照してください。
2.4.7-p1
Adobe Commerce 2.4.7-p1 セキュリティリリースは、以前のリリースの 2.4.7 で特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobeセキュリティ速報 APSB24-40 を参照してください。
CVE-2024-34102 のホットフィックスを適用する
2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを適用していないお客様の場合:
オプション 1:
オプション 2:
2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを既に適用しているお客様の場合:
既に 1 の場合) 2024 年 6 月 11 日にリリースされたセキュリティパッチを適用した場合、または 2 の場合) 2024 年 6 月 28 日にリリースされた分離パッチ、および 3 の場合)暗号化キーをローテーションした場合:
- 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
Google Authenticator の ワンタイムパスワード (OTP)設定の更新– この更新は、 後方互換性のない変更2.4.7 で発生したエラーを解決するために必要です。OTP Window フィールドの説明で設定の正確な説明が提供されるようになり、デフォルト値は
1から29に変更されました。 -
B2B バージョンの互換性 - Commerce バージョン 2.4.7-p1 との互換性を確保するには、Adobe Commerce B2B 拡張機能を持つマーチャントが、B2B バージョン 1.4.2-p1 にアップグレードする必要があります。
このリリースに含まれるホットフィックス
Adobe Commerce 2.4.7-p1 では、SOAPから REST API への UPS 統合の移行の範囲で発生していた問題が修正されました。 この問題は、米国外に出荷するお客様に影響を与え、UPS を使用した出荷を作成するために、パッケージにキログラムとセンチメートルのメートル法/SI 測定を使用することを妨げました。 詳しくは、SOAPから RESTful API への UPS 発送方法の統合の移行ナレッジベースの記事を参照してください。