Adobe Commerce APSB22-12에서 사용할 수 있는 보안 업데이트
Adobe은 Adobe Commerce 및 Magento Open Source에 대한 보안 업데이트를 발표했습니다. 이 업데이트는 위험 등급의 취약성을 해결합니다. 성공적으로 활용하면 임의의 코드 실행이 발생할 수 있습니다.
Adobe은 Adobe Commerce 판매자를 대상으로 하는 매우 제한적인 공격에서 CVE-2022-24086 이 사용되었음을 인지합니다. Adobe은 이 업데이트에서 해결된 문제에 대해 야생에서 악용되는 것을 알지 못합니다(CVE-2022-24087).
이 문서에서는 문제 해결을 위한 추가 솔루션 세부 정보를 제공합니다.
영향을 받는 제품 및 버전
- Adobe Commerce 및 Magento Open Source 2.3.3-p1 - 2.3.7-p2 및 2.4.0 - 2.4.3-p1
클라우드 인프라의 Adobe Commerce을 위한 솔루션
Cloud Patches 패키지 v1.0.16에서 문제가 해결되었습니다. 이 문제를 해결하려면 최신 클라우드 패치 패키지(으)로 업그레이드하는 것이 좋습니다. 최신 Cloud Patches 패키지에는 이전 패키지의 모든 업그레이드가 포함됩니다.
최신 Cloud Patches 패키지로 업그레이드하기 전에 APSB22-12와 관련된 사용자 지정 패치를 제거해야 합니다. 특히 MDVA-43395 및 MDVA-43443 패치입니다. 이렇게 하려면 아래 단계를 수행합니다.
Adobe Commerce 온-프레미스 및 Magento Open Source 솔루션
Adobe Commerce 온-프레미스 또는 Magento Open Source에 있는 경우 취약점을 해결하려면 MDVA-43395 패치를 먼저 적용한 다음 그 위에 MDVA-43443 패치를 적용해야 합니다.
Adobe Commerce 버전에 따라 다음과 같은 첨부 패치를 사용합니다.
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
작성기 패치 적용 방법
파일의 압축을 풀고 Adobe에서 제공하는 작성기 패치를 적용하는 방법의 지침을 따릅니다.
패치가 적용되었는지 확인하는 방법 how-to-tell-whether-the-patches-have-been-applied
문제가 패치되었는지 쉽게 확인할 수 없음을 고려하여 MDVA-43395 및 MDVA-43443 패치가 성공적으로 적용되었는지 확인할 수 있습니다.
다음 단계를 수행하여 이 작업을 수행할 수 있습니다.
- 품질 패치 도구 설치.
- 다음 명령을 실행합니다.
vendor/bin/magento-patches -n status |grep "43395|43443|Status"
- 이 출력이 표시됩니다. MDVA-43395은 N/A 상태를 반환하고 MDVA-43443은 적용됨 상태를 반환합니다.
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
보안 업데이트
Adobe Commerce에서 사용할 수 있는 보안 업데이트: