Adobe Commerce에 사용 가능한 보안 업데이트 - APSB24-40

NOTE
**CVE-2024-34102과(와) 관련된 긴급 업데이트입니다. Adobe은 CVE-2024-34102이(가) Adobe Commerce 판매자를 대상으로 하는 매우 제한적인 공격에서 야생으로 악용되었음을 알고 있습니다.

2024년 7월 17일에 2024년 6월 11일에 보안 업데이트 릴리스 및/또는 2024년 6월 28일에 릴리스된 격리된 패치 외에 hotfix을(를) 릴리스했습니다.

모든 프로덕션 및 비프로덕션 환경을 확인하여 스토어가 모든 인스턴스에서 완전히 패치되었는지 확인하십시오. 취약성을 해결하려면 즉각적인 조치 를 취하십시오.

NOTE
Cloud 판매자의 Adobe Commerce 전용:

1. ECE Tools의 최신 버전을 사용하고 있는지 확인하세요. 그렇지 않으면 업그레이드하거나 2번 항목으로 건너뜁니다. 기존 버전을 확인하려면 다음 명령을 실행하십시오.composer show magento/ece-tools
2. ECE Tools의 최신 버전을 사용하고 있는 경우 op-exclude.txt 파일이 있는지 확인하십시오. 이렇게 하려면 다음 명령을 실행합니다.ls op-exclude.txt. 이 파일이 없으면 https://github.com/magento/magento-cloud/blob/master/op-exclude.txt을 저장소에 추가한 다음 변경 내용을 커밋하고 다시 배포합니다.
3. ECE Tools을(를) 업그레이드하지 않고도 리포지토리에서 https://github.com/magento/magento-cloud/blob/master/op-exclude.txt을(를) 추가/수정한 다음 변경 내용을 커밋하고 다시 배포할 수도 있습니다.

옵션 1 - not 이(가) 있는 판매자의 경우 2024년 6월 11일부터 보안 업데이트를 적용하거나 2024년 6월 28일에 릴리스된 격리된 패치를 적용합니다

  1. 2024년 7월 17일에 릴리스된 hotfix을(를) 적용합니다.
  2. 보안 패치를 적용합니다.
  3. maintenance mode 사용
  4. cron 실행 사용 안 함(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:disable).
  5. encryption keys을(를) 회전합니다.
  6. 캐시를 플러시합니다.
  7. cron 실행 사용(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:enable).
  8. maintenance mode을(를) 사용하지 않도록 설정합니다.

또는

  1. 분리된 패치를 적용합니다. 참고: 이 버전의 격리된 패치에는 2024년 7월 17일, hotfix이(가) 포함되어 있습니다.
  2. maintenance mode 사용
  3. cron 실행 사용 안 함(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:disable).
  4. encryption keys을(를) 회전합니다.
  5. 캐시를 플러시합니다.
  6. cron 실행 사용(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:enable).
  7. maintenance mode을(를) 사용하지 않도록 설정합니다.

옵션 2 - 이미 이(가) 있는 판매자의 경우 2024년 6월 11일부터 보안 업데이트를 적용하거나 2024년 6월 28일에 릴리스된 격리된 패치를 적용했습니다.

  1. 2024년 7월 17일에 릴리스된 hotfix을(를) 적용합니다.
  2. maintenance mode 사용
  3. cron 실행 사용 안 함(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:disable).
  4. encryption keys을(를) 회전합니다.
  5. 캐시를 플러시합니다.
  6. cron 실행 사용(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:enable).
  7. maintenance mode을(를) 사용하지 않도록 설정합니다.

옵션 3 - 이미 이(가) 있는 판매자의 경우 (1) 2024년 6월 11일부터 보안 업데이트를 적용하거나 (2) 2024년 6월 28일에 릴리스된 격리된 패치 및 (3) 암호화 키를 회전했습니다.

  • 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.
NOTE
업그레이드 후에도 계속 안전하려면 encryption keys을(를) 회전:

1해야 합니다. maintenance mode 사용
2. cron 실행 사용 안 함(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:disable).
3. encryption keys 회전
4. cron 실행 사용(클라우드의 Commerce 명령: vendor/bin/ece-tools cron:enable).
5. maintenance mode을(를) 사용하지 않도록 설정합니다.

이 문서에서는 현재 및 이전 버전의 Adobe Commerce 및 Magento Open Source에 대해 이 문제에 대해 격리된 패치를 구현하는 방법을 알아봅니다.
참고: 이 버전의 격리된 패치에는 2024년 7월 17일, hotfix이(가) 포함되어 있습니다.

영향을 받는 제품 및 버전

Adobe Commerce on Cloud, Adobe Commerce 온프레미스 및 Magento Open Source:

  • 2.4.7-p1 및 이전
  • 2.4.6-p6 및 이전
  • 2.4.5-p8 및 이전
  • 2.4.4-p9 및 이전

Adobe Commerce on Cloud, Adobe Commerce 온프레미스 소프트웨어 및 Magento Open Source 솔루션

영향을 받는 제품 및 버전의 취약성을 해결하려면 VULN-27015 패치(버전에 따라 다름)를 적용하고 encryption keys을(를) 회전해야 합니다.

핫픽스 세부 정보 hotfix

격리된 패치 세부 정보

참고: 이 버전의 격리된 패치에는 2024년 7월 17일, hotfix이(가) 포함되어 있습니다.

Adobe Commerce/Magento Open Source 버전에 따라 다음과 같이 첨부된 패치를 사용하십시오.

버전 2.4.7, 2.4.7-p1의 경우:

버전 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6의 경우:

버전 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8:

버전 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9:

분리된 패치와 hotfix을(를) 적용하는 방법

파일의 압축을 풀고 지침이 필요하면 지원 기술 자료에서 Adobe이 제공한 작성기 패치를 적용하는 방법을 참조하십시오.

Adobe Commerce on Cloud 판매자의 경우에만 - 분리된 패치가 적용되었는지 여부를 확인하는 방법

문제가 패치되었는지 쉽게 확인할 수 없는 점을 고려하여 VULN-27015 격리된 패치가 성공적으로 적용되었는지 확인할 수 있습니다.

다음 단계를 수행하여 VULN-27015-2.4.7_COMPOSER.patch 파일을 예로 사용하여 이 작업을 수행할 수 있습니다:

  1. 품질 패치 도구 설치.

  2. 명령 실행:

    cve-2024-34102-tell-if-patch-applied-code

  3. 다음과 유사한 출력이 표시되어야 합니다. 여기서 VULN-27015은 적용됨 상태를 반환합니다.

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

패치를 적용한 후 encryption key 회전/변경

  • 패치를 적용한 후 encryption key을(를) 회전/변경하는 방법에 대한 지침은 Commerce 관리 시스템 안내서 설명서의 관리 시스템 안내서: Encryption key ​을(를) 참조하십시오.

보안 업데이트

Adobe Commerce에서 사용할 수 있는 보안 업데이트:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a