AC-3022.patch을(를) 적용하여 DHL을 배송 운송업체로 계속 제공

DHL은 스키마 버전 6.2를 도입했으며 2022년 9월에는 스키마 버전 6.0을 더 이상 사용하지 않을 예정입니다. DHL 통합을 지원하는 Adobe Commerce 2.4.4 및 이전 버전은 버전 6.0만 지원합니다. 이러한 릴리스를 배포하는 판매자는 가능한 한 빨리 AC-3022.patch을(를) 적용하여 DHL을 운송 회사로 계속 제공해야 합니다. 패치 다운로드 및 설치에 대한 자세한 내용은 DHL을 배송업체로 계속 제공하려면 패치 적용 기술 자료 문서를 참조하십시오.

보안 패치 사용 가능

판매자는 이제 전체 분기별 릴리스(예: 2.3.5-p2)에서 제공하는 수백 가지의 기능 수정 사항 및 개선 사항을 적용하지 않고도 시간에 민감한 보안 수정 사항을 설치할 수 있습니다. 패치 2.3.5.2(Composer 패키지 2.3.5-p2)는 이전 분기 릴리스인 2.3.5-p1에서 식별된 취약점에 대한 수정 사항을 제공하는 보안 패치입니다. 2.3.5 릴리스에 적용된 모든 핫픽스는 이 보안 패치에 포함되어 있습니다. 핫픽스 ​에서는 특정 문제나 버그를 해결하는 릴리스된 버전에 대한 수정 사항을 제공합니다.

보안 패치에 대한 일반 정보는 새 보안 패치 릴리스 소개를 참조하십시오.보안 패치(패치 2.3.5-p2 포함) 다운로드 및 적용 지침은 빠른 시작 온-프레미스 설치를 참조하십시오. 보안 패치에는 전체 패치에 포함된 추가 보안 개선 사항이 아닌 보안 버그 수정 사항만 포함됩니다.

기타 릴리스 정보

이러한 기능에 대한 코드는 분기별 릴리스와 함께 번들로 제공되지만 이러한 프로젝트 중 일부(예: B2B, 페이지 빌더, Inventory management 및 Progressive Web Application(PWA) Studio)도 독립적으로 릴리스됩니다. 이러한 프로젝트에 대한 버그 수정은 각 프로젝트에 대한 설명서에서 사용할 수 있는 별도의 프로젝트별 릴리스 정보에 설명되어 있습니다.

강조 표시

이 릴리스에서 다음 하이라이트를 확인하십시오.

강화된 보안 기능

이 릴리스에는 30개 이상의 보안 수정 사항 및 플랫폼 보안 개선 사항이 포함되어 있습니다.

RCE(원격 코드 실행) 및 XSS(교차 사이트 스크립팅) 취약점을 해결하는 데 도움이 되는 30가지 이상의 보안 개선 사항

현재까지 이러한 문제와 관련된 확인된 공격은 발생하지 않았습니다. 그러나 특정 취약성은 고객 정보에 액세스하거나 관리자 세션을 인수하는 데 잠재적으로 악용될 수 있습니다. 이러한 문제의 대부분은 공격자가 먼저 관리자에 대한 액세스 권한을 얻어야 합니다. 그 결과, IP 허용 목록에 추가, 2단계 인증, VPN 사용, /admin이(가) 아닌 고유한 위치 사용, 양호한 암호 위생 등을 포함하여(그러나 이에 국한되지 않음) 관리자를 보호하기 위해 필요한 모든 조치를 취하도록 상기시켜 드립니다. 이러한 고정 문제에 대한 논의는 Magento에 사용 가능한 보안 업데이트를 참조하십시오.

추가적인 보안 개선 사항

  • 관리자 계정, magento.com 사용자 계정 및 클라우드 SSH 액세스용 2FA 구현

    • 관리자 계정 보안 설정. 이제 관리자에 2단계 인증(2FA)이 필요합니다. 관리자 사용자는 UI 또는 웹 API를 통해 관리자에 로그인하기 전에 먼저 2FA를 구성해야 합니다. 기본적으로 2FA가 활성화됩니다. 2FA 모듈을 비활성화하지 않는 것이 좋습니다. 이러한 추가 인증 단계를 수행하면 악의적인 사용자가 권한 부여 없이 관리자에 로그인하기 어려워집니다. 2단계 인증(2FA)을 참조하세요.

    • 계정 보안 설정. 2단계 인증(2FA)은 원치 않는 방식으로 계정을 사용하려는 권한이 없는 사용자로부터 magento.com 계정을 더 잘 보호하기 위해 추가된 선택적 보안 계층을 제공합니다. 계정 보안을 참조하세요.

    • 클라우드 SSH 액세스 보안. 클라우드 인프라의 Adobe은 클라우드 환경에 대한 SSH 액세스에 대한 인증 요구 사항을 관리하기 위한 MFA(Multi-Factor Authentication) 적용을 제공합니다. 프로젝트에서 2FA에 대한 다단계 인증이 기본적으로 활성화되어 있지 않습니다. Adobe은 이 기능을 활성화할 것을 강력히 권장합니다. 도움이 필요하면 지원팀에 문의하십시오. SSH 액세스를 위해 다단계 인증 사용을 참조하세요.

  • 템플릿 필터 엄격 모드가 이제 기본적으로 사용됩니다. 레거시 모드에서 템플릿 필터를 사용하는 구성 요소(CMS 페이지 및 블록 포함)는 원격 코드 실행(RCE)에 취약할 수 있습니다. 기본적으로 엄격 모드를 활성화하면 RCE 공격을 의도적으로 활성화할 수 없습니다.

  • 이제 UI 데이터 공급자에 대한 데이터 렌더링이 기본적으로 사용하지 않도록 설정됩니다. 이를 통해 악의적인 사용자가 임의의 JavaScript을 실행할 수 있는 기회를 제거할 수 있습니다.

  • \Magento\Framework\Escaper 클래스. 이 클래스는 HTML 생성을 담당하는 .phtml 템플릿과 PHP 클래스에 대해 제공됩니다. 이 클래스에는 여러 컨텍스트와 관련된 HTML 정리 메서드가 포함되어 있습니다. $escaper 로컬 변수는 .phtml 템플릿 내에서 사용할 수 있으며 더 이상 사용되지 않는 $block->escape{method} 대신 사용해야 합니다. $block->escape{method} 사용이 더 이상 사용되지 않으므로 $block이(가) 아닌 $escaper을(를) 사용하십시오.

  • security.txt 파일 지원. 이 파일은 보안 연구자가 사이트 관리자에게 잠재적인 보안 문제를 보고할 수 있도록 지원하는 서버의 업계 표준 파일입니다.

  • CSP(콘텐츠 보안 정책) 지원 개선 사항. SecureHtmlRenderer이(가) 프레임워크에 추가되었으며 .phtml 템플릿에서 인라인 stylescript 태그를 화이트리스트에 추가할 수 있습니다. XML 파일로 재정의할 수 있는 기본 CSP 구성에서는 인라인 스크립트 및 스타일을 사용할 수 없습니다.

NOTE
2.3.2 릴리스부터 외부 파티가 보고하는 각 보안 버그와 함께 인덱싱된 CVE(Common Vulnerabilities and Exposes) 번호를 할당하고 게시합니다. 이를 통해 사용자는 배포에서 해결되지 않은 취약점을 보다 쉽게 식별할 수 있습니다. CVE에서 CVE 식별자에 대해 자세히 알아볼 수 있습니다.