Adobe Commerce APSB22-12에서 사용할 수 있는 보안 업데이트

NOTE
업데이트: CVE-2022-24086에 필요한 추가 보안 보호가 발견되었으며 이를 해결하기 위한 업데이트가 출시되었습니다(CVE-2022-24087). 고객의 보안 업데이트를 여기에서 사용할 수 있습니다.

Adobe은 Adobe Commerce 및 Magento Open Source에 대한 보안 업데이트를 발표했습니다. 이 업데이트는 위험 등급의 취약성을 해결합니다. 성공적으로 활용하면 임의의 코드 실행이 발생할 수 있습니다.

Adobe은 Adobe Commerce 판매자를 대상으로 하는 매우 제한적인 공격에서 CVE-2022-24086 이 사용되었음을 인지합니다. Adobe은 이 업데이트에서 해결된 문제에 대해 야생에서 악용되는 것을 알지 못합니다(CVE-2022-24087).

이 문서에서는 문제 해결을 위한 추가 솔루션 세부 정보를 제공합니다.

영향을 받는 제품 및 버전

  • Adobe Commerce 및 Magento Open Source 2.3.3-p1 - 2.3.7-p2 및 2.4.0 - 2.4.3-p1

클라우드 인프라의 Adobe Commerce을 위한 솔루션

Cloud Patches 패키지 v1.0.16에서 문제가 해결되었습니다. 이 문제를 해결하려면 최신 클라우드 패치 패키지(으)로 업그레이드하는 것이 좋습니다. 최신 Cloud Patches 패키지에는 이전 패키지의 모든 업그레이드가 포함됩니다.

최신 Cloud Patches 패키지로 업그레이드하기 전에 APSB22-12와 관련된 사용자 지정 패치를 제거해야 합니다. 특히 MDVA-43395 및 MDVA-43443 패치입니다. 이렇게 하려면 아래 단계를 수행합니다.

  1. MDVA-43395 및 MDVA-43443 패치가 설치되었는지 확인합니다. 패치가 적용되었는지 확인하려면 이 단계를 따르십시오.
  2. 패치가 설치되어 있으면 다음 단계에 따라 제거하십시오.
  3. 최신 Cloud Patches 패키지로 업그레이드하려면 composer update magento/magento-cloud-patches 명령을 실행합니다.
  4. composer.lockcomposer.json 파일을 커밋하고 푸시합니다.
  5. 재배포.

Adobe Commerce 온-프레미스 및 Magento Open Source 솔루션

Adobe Commerce 온-프레미스 또는 Magento Open Source에 있는 경우 취약점을 해결하려면 MDVA-43395 패치를 먼저 적용한 다음 그 위에 MDVA-43443 패치를 적용해야 합니다.

Adobe Commerce 버전에 따라 다음과 같은 첨부 패치를 사용합니다.

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

작성기 패치 적용 방법

파일의 압축을 풀고 Adobe에서 제공하는 작성기 패치를 적용하는 방법의 지침을 따릅니다.

패치가 적용되었는지 확인하는 방법 how-to-tell-whether-the-patches-have-been-applied

문제가 패치되었는지 쉽게 확인할 수 없음을 고려하여 MDVA-43395 및 MDVA-43443 패치가 성공적으로 적용되었는지 확인할 수 있습니다.

다음 단계를 수행하여 이 작업을 수행할 수 있습니다.

  1. 품질 패치 도구 설치.
  2. 다음 명령을 실행합니다. vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. 이 출력이 표시됩니다. MDVA-43395은 N/A 상태를 반환하고 MDVA-43443은 적용됨 상태를 반환합니다.
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

보안 업데이트

Adobe Commerce에서 사용할 수 있는 보안 업데이트:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a