Adobe Commerce에 사용 가능한 보안 업데이트 - APSB24-40
2024년 7월 17일에 2024년 6월 11일에 보안 업데이트 릴리스 및/또는 2024년 6월 28일에 릴리스된 격리된 패치 외에 hotfix을(를) 릴리스했습니다.
모든 프로덕션 및 비프로덕션 환경을 확인하여 스토어가 모든 인스턴스에서 완전히 패치되었는지 확인하십시오. 취약성을 해결하려면 즉각적인 조치 를 취하십시오.
1. ECE Tools의 최신 버전을 사용하고 있는지 확인하세요. 그렇지 않으면 업그레이드하거나 2번 항목으로 건너뜁니다. 기존 버전을 확인하려면 다음 명령을 실행하십시오.
composer show magento/ece-tools2. ECE Tools의 최신 버전을 사용하고 있는 경우
op-exclude.txt 파일이 있는지 확인하십시오. 이렇게 하려면 다음 명령을 실행합니다.ls op-exclude.txt. 이 파일이 없으면 https://github.com/magento/magento-cloud/blob/master/op-exclude.txt을 저장소에 추가한 다음 변경 내용을 커밋하고 다시 배포합니다.3. ECE Tools을(를) 업그레이드하지 않고도 리포지토리에서 https://github.com/magento/magento-cloud/blob/master/op-exclude.txt을(를) 추가/수정한 다음 변경 내용을 커밋하고 다시 배포할 수도 있습니다.
옵션 1 - not 이(가) 있는 판매자의 경우 2024년 6월 11일부터 보안 업데이트를 적용하거나 2024년 6월 28일에 릴리스된 격리된 패치를 적용합니다
- 2024년 7월 17일에 릴리스된 hotfix을(를) 적용합니다.
- 보안 패치를 적용합니다.
- maintenance mode 사용
- cron 실행 사용 안 함(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:disable). - encryption keys을(를) 회전합니다.
- 캐시를 플러시합니다.
- cron 실행 사용(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:enable). - maintenance mode을(를) 사용하지 않도록 설정합니다.
또는
- 분리된 패치를 적용합니다. 참고: 이 버전의 격리된 패치에는 2024년 7월 17일, hotfix이(가) 포함되어 있습니다.
- maintenance mode 사용
- cron 실행 사용 안 함(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:disable). - encryption keys을(를) 회전합니다.
- 캐시를 플러시합니다.
- cron 실행 사용(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:enable). - maintenance mode을(를) 사용하지 않도록 설정합니다.
옵션 2 - 이미 이(가) 있는 판매자의 경우 2024년 6월 11일부터 보안 업데이트를 적용하거나 2024년 6월 28일에 릴리스된 격리된 패치를 적용했습니다.
- 2024년 7월 17일에 릴리스된 hotfix을(를) 적용합니다.
- maintenance mode 사용
- cron 실행 사용 안 함(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:disable). - encryption keys을(를) 회전합니다.
- 캐시를 플러시합니다.
- cron 실행 사용(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:enable). - maintenance mode을(를) 사용하지 않도록 설정합니다.
옵션 3 - 이미 이(가) 있는 판매자의 경우 (1) 2024년 6월 11일부터 보안 업데이트를 적용하거나 (2) 2024년 6월 28일에 릴리스된 격리된 패치 및 (3) 암호화 키를 회전했습니다.
- 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.
1해야 합니다. maintenance mode 사용
2. cron 실행 사용 안 함(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:disable).3. encryption keys 회전
4. cron 실행 사용(클라우드의 Commerce 명령:
vendor/bin/ece-tools cron:enable).5. maintenance mode을(를) 사용하지 않도록 설정합니다.
이 문서에서는 현재 및 이전 버전의 Adobe Commerce 및 Magento Open Source에 대해 이 문제에 대해 격리된 패치를 구현하는 방법을 알아봅니다.
참고: 이 버전의 격리된 패치에는 2024년 7월 17일, hotfix이(가) 포함되어 있습니다.
영향을 받는 제품 및 버전
Adobe Commerce on Cloud, Adobe Commerce 온프레미스 및 Magento Open Source:
- 2.4.7-p1 및 이전
- 2.4.6-p6 및 이전
- 2.4.5-p8 및 이전
- 2.4.4-p9 및 이전
Adobe Commerce on Cloud, Adobe Commerce 온프레미스 소프트웨어 및 Magento Open Source 솔루션
영향을 받는 제품 및 버전의 취약성을 해결하려면 VULN-27015 패치(버전에 따라 다름)를 적용하고 encryption keys을(를) 회전해야 합니다.
핫픽스 세부 정보 hotfix
- Hotfix AC-12485_Hotfix_COMPOSER_patch.zip 다운로드
격리된 패치 세부 정보
참고: 이 버전의 격리된 패치에는 2024년 7월 17일, hotfix이(가) 포함되어 있습니다.
Adobe Commerce/Magento Open Source 버전에 따라 다음과 같이 첨부된 패치를 사용하십시오.
버전 2.4.7의 경우
버전 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
버전 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
버전 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
분리된 패치와 hotfix을(를) 적용하는 방법
파일의 압축을 풀고 지침이 필요하면 지원 기술 자료에서 Adobe이 제공한 작성기 패치를 적용하는 방법을 참조하십시오.
Adobe Commerce on Cloud 판매자의 경우에만 - 분리된 패치가 적용되었는지 여부를 확인하는 방법
문제가 패치되었는지 쉽게 확인할 수 없는 점을 고려하여 VULN-27015 격리된 패치가 성공적으로 적용되었는지 확인할 수 있습니다.
다음 단계를 수행하여 VULN-27015-2.4.7_COMPOSER.patch 파일을 예로 사용하여 이 작업을 수행할 수 있습니다:
-
명령 실행:
-
다음과 유사한 출력이 표시되어야 합니다. 여기서 VULN-27015은 적용됨 상태를 반환합니다.
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
패치를 적용한 후 encryption key 회전/변경
패치를 적용한 후 encryption key을(를) 회전/변경하는 방법에 대한 지침은 Commerce 관리 시스템 안내서 설명서의 관리 시스템 안내서: Encryption key 을(를) 참조하십시오.
저장소 보안 및 암호화 키 회전에 대한 추가 지침
CVE-2024-34102에 대한 저장소 보안 및 암호화 키 회전에 대한 추가 지침은 저장소 보안 및 암호화 키 회전에 대한 지침: CVE-2024-34102(Adobe Commerce 기술 자료)을 참조하십시오.
보안 업데이트
Adobe Commerce에서 사용할 수 있는 보안 업데이트:
관련 읽기
Adobe Commerce 설치 가이드의 maintenance mode 사용 또는 사용 안 함