Adobe Commerceに関するセキュリティアップデート公開 – APSB24-73
2024年10月8日(PT)に、Adobeは、Adobe CommerceおよびAdobe Commerce Webhook プラグインの定期的なセキュリティアップデートをリリースしました。 この更新プログラムは、 クリティカル、重要、および中度の脆弱性を解決します。 この脆弱性が悪用されると、任意のコード実行、任意のファイルシステムの読み取り、セキュリティ機能のバイパス、権限のエスカレーションにつながる可能性があります。 公開情報はAdobe セキュリティ情報(APSB24-73) です。
上記のセキュリティ情報に記載されているCVE-2024-45115は、B2B モジュールを使用する場合にのみ適用されます。 この脆弱性の修正が可能な限り迅速に適用されるように、AdobeはCVE-2024-45115を解決する分離パッチもリリースしました。
注:最新のセキュリティ更新プログラムをできるだけ早く適用してください。 これを行わない場合、これらのセキュリティ問題に対して脆弱になり、Adobeの修復手段は限られます。
セキュリティパッチ/分離パッチの適用に問題が発生した場合は、サポートサービスにお問い合わせください。
説明 description
影響を受ける環境
-
Adobe Commerce オンクラウドおよびAdobe Commerce オンプレミス:
- 2.4.7-p2以前
- 2.4.6-p7以前
- 2.4.5-p9以前
- 2.4.4-p10以前
-
B2B:
- 1.4.2-p2以前
- 1.3.5-p7以前
- 1.3.4-p9以前
- 1.3.3-p10以前
解決策 resolution
Adobe Commerce on CloudおよびAdobe Commerce オンプレミスソフトウェアの場合
影響を受ける製品とバージョンの脆弱性を解決するには、CVE-2024-45115の分離パッチを適用する必要があります。
分離されたパッチの詳細
次の添付の分離パッチを使用します。
分離パッチの適用方法
ファイルを解凍し、手順については、サポートナレッジベースのAdobeが提供するコンポーザーパッチの適用方法を参照してください。
Adobe Commerce on Cloud マーチャントのみ – 分離されたパッチが適用されているかどうかを確認する方法
問題にパッチが適用されたかどうかを簡単に確認できないことを考慮すると、CVE-2024-45115分離パッチが正常に適用されたかどうかを確認することをお勧めします。
これは、ファイル VULN-27015-2.4.7_COMPOSER.patch を例として使用して、次の手順を実行することによって実行できます。
-
次のコマンドを実行します:
vendor/bin/magento-patches -n status |grep "27015\|Status" -
VULN-27015がApplied ステータスを返す場合は、次のような出力が表示されます。
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom ║