Adobe Commerce 2.4.4 보안 패치 릴리스 노트

이러한 보안 패치 릴리스 노트는 Adobe Commerce 배포의 보안을 강화하기 위해 업데이트를 캡처합니다. 정보에는 다음이 포함되지만 이에 국한되지 않습니다.

  • 보안 버그 수정
  • 보안 강조는 보안 패치에 포함된 개선 사항 및 업데이트에 대한 자세한 내용을 제공합니다
  • 알려진 문제
  • 필요한 경우 추가 패치를 적용하는 지침
  • 릴리스에 포함된 핫픽스에 대한 정보

보안 패치 릴리스에 대해 자세히 알아보기:

Adobe Commerce 2.4.4-p9

Adobe Commerce 2.4.4-p9 보안 릴리스는 이전 릴리스 2.4.4에서 식별된 취약점에 대한 보안 버그 수정을 제공합니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB24-40.

플랫폼 업그레이드

  • MariaDB 10.5 지원. 이 패치 릴리스는 MariaDB 버전 10.5와의 호환성을 제공합니다. Adobe CommerceAdobe 는 여전히 MariaDB 버전 10.4와 호환되지만, MariaDB 10.4 유지 보수는 2024년 6월 18일에 종료되므로 Adobe Commerce 2.4.4-p9 및 예정된 모든 2.4.4 보안 전용 패치 릴리스를 MariaDB 버전 10.5와만 사용하는 것이 좋습니다.

추가적인 보안 개선 사항

현재까지 이러한 문제와 관련된 확인된 공격은 발생하지 않았습니다. 그러나 특정 취약성은 고객 정보에 액세스하거나 관리자 세션을 인수하는 데 잠재적으로 악용될 수 있습니다. 이러한 문제의 대부분은 공격자가 먼저 관리자에 대한 액세스 권한을 얻어야 합니다. 따라서 이러한 노력을 포함하되 이에 국한되지 않고 관리자를 보호하기 위해 필요한 모든 조치를 취해야 함을 알려드립니다.

  • IP 허용 목록에 추가
  • 이중 인증
  • VPN 사용
  • 대신 고유한 위치 사용 /admin
  • 올바른 암호 위생

이 릴리스의 보안 개선 사항은 최신 보안 모범 사례를 통해 규정 준수를 향상시킵니다.

  • 생성되지 않은 캐시 키 동작 변경:

    • 이제 블록에 대해 생성되지 않은 캐시 키에는 자동으로 생성되는 키의 접두사와 다른 접두사가 포함됩니다. (생성되지 않은 캐시 키는 템플릿 지시문 구문 또는 setCacheKey 또는 setData 메서드.)
    • 이제 블록의 생성되지 않은 캐시 키에는 문자, 숫자, 하이픈(-) 및 밑줄(_)만 사용해야 합니다.
  • 자동 생성된 쿠폰 코드 수 제한. 이제 Commerce에서 자동으로 생성되는 쿠폰 코드 수를 제한합니다. 기본 최대값은 250,000입니다. 상인은 새 제품을 사용할 수 있습니다 Code Quantity Limit 구성 옵션 (Stores > Settings:Configuration > Customers > Promotions)를 클릭하여 많은 쿠폰으로 시스템을 압도할 가능성을 방지할 수 있습니다.

  • 기본 관리 URL 생성 프로세스의 최적화. 기본 관리 URL의 생성은 무작위성의 증가에 맞게 최적화되므로 생성된 URL의 예측 가능성이 줄어듭니다.

  • SRI(Subresource Integrity) 지원이 추가됨 결제 페이지에서 스크립트 무결성을 확인하기 위한 PCI 4.0 요구 사항을 준수합니다. SRI(Subresource Integrity) 지원은 로컬 파일 시스템에 있는 모든 JavaScript 자산에 무결성 해시를 제공합니다. 기본 SRI 기능은 관리자 및 상점 영역의 결제 페이지에서만 구현됩니다. 그러나 판매자는 기본 구성을 다른 페이지로 확장할 수 있습니다. 다음을 참조하십시오 하위 리소스 무결성 다음에서 Commerce PHP 개발자 안내서.

  • CSP(콘텐츠 보안 정책) 변경 사항—PCI 4.0 요구 사항을 준수하는 Adobe Commerce CSP(콘텐츠 보안 정책)의 구성 업데이트 및 개선 사항입니다. 자세한 내용은 컨텐츠 보안 정책 다음에서 Commerce PHP 개발자 안내서.

    • Commerce 관리 및 상점 영역의 결제 페이지에 대한 기본 CSP 구성은 이제 입니다. restrict 모드. 다른 모든 페이지의 경우 기본 구성은 입니다. report-only 모드. 2.4.7 이전 릴리스에서 CSP는에 구성되었습니다. report-only 모든 페이지의 모드.

    • CSP에서 인라인 스크립트를 실행할 수 있도록 임시 공급자를 추가했습니다. nonce 공급자는 각 요청에 대해 고유한 nonce 문자열을 쉽게 생성할 수 있습니다. 그러면 문자열이 CSP 헤더에 연결됩니다.

    • 관리자의 주문 만들기 페이지와 상점 첫 화면의 체크아웃 페이지에 대한 CSP 위반을 보고하도록 사용자 지정 URI를 구성하는 옵션이 추가되었습니다. 관리자에서 또는 URI를에 추가하여 구성을 추가할 수 있습니다 config.xml 파일.

      note note
      NOTE
      CSP 구성 업데이트 restrict 모드는 관리 및 상점 첫 화면의 결제 페이지에서 기존 인라인 스크립트를 차단할 수 있으며, 이로 인해 페이지가 로드될 때 다음과 같은 브라우저 오류가 발생합니다. Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. 필수 스크립트를 허용하도록 화이트리스트 구성을 업데이트하여 이러한 오류를 수정합니다. 다음을 참조하십시오 문제 해결 다음에서 Commerce PHP 개발자 안내서.
  • 새로운 전체 페이지 캐시 구성 설정을 사용하면 HTTP와 관련된 위험을 완화할 수 있습니다 {BASE-URL}/page_cache/block/esi 엔드포인트. 이 끝점은 상거래 레이아웃 핸들 및 블록 구조에서 제한되지 않고 동적으로 로드된 콘텐츠 조각을 지원합니다. 새로운 Handles params size 구성 설정은 이 끝점의 값을 설정합니다. handles API당 허용되는 최대 핸들 수를 결정하는 매개 변수입니다. 이 속성의 기본값은 100입니다. 판매자는 관리자( )에서 이 값을 변경할 수 있습니다.Stores > Settings:Configuration > System > Full Page Cache > Handles params size). 다음을 참조하십시오 Vannish를 사용하도록 Commerce 애플리케이션 구성.

  • REST 및 GraphQL API를 통해 전송되는 결제 정보에 대한 기본 요금 제한. 상인은 이제 속도 제한 구성 REST 및 GraphQL을 사용하여 전송된 결제 정보입니다. 이렇게 추가된 보호 계층은 카드 공격의 예방을 지원하고 한 번에 여러 신용카드 번호를 테스트하는 카드 공격의 양을 잠재적으로 줄입니다. 기존 REST 끝점의 기본 동작이 변경된 것입니다. 다음을 참조하십시오 속도 제한.

  • 의 기본 동작 isEmailAvailable GraphQL 쿼리 및 (V1/customers/isEmailAvailable) REST 끝점이 변경되었습니다. 기본적으로 이제 API는 항상 반환됩니다 true. 판매자는 를 설정하여 원래 동작을 활성화할 수 있습니다. 게스트 체크아웃 로그인 활성화 관리 대상 옵션 yes를 사용하지만 그렇게 하면 인증되지 않은 사용자에게 고객 정보가 노출될 수 있습니다.

2.4.4-p8

Adobe Commerce 2.4.4-p8 보안 릴리스는 Adobe Commerce 2.4.4 배포에 대한 보안 버그 수정 사항을 제공합니다. 이러한 업데이트는 이전 릴리스에서 식별된 취약점을 수정합니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB24-18.

2.4.4-p7

Adobe Commerce 2.4.4-p7 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 이 릴리스에는 최신 보안 모범 사례를 준수하는 개선된 보안 기능도 포함되어 있습니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB24-03.

보안 주요 사항

이번 릴리스에는 다음과 같은 두 가지 중요한 보안 개선 사항이 도입되었습니다.

  • 생성되지 않은 캐시 키 동작 변경:

    • 이제 블록에 대해 생성되지 않은 캐시 키에는 자동으로 생성되는 키의 접두사와 다른 접두사가 포함됩니다. (생성되지 않은 캐시 키는 템플릿 지시문 구문 또는 setCacheKey 또는 setData 메서드.)
    • 이제 블록의 생성되지 않은 캐시 키에는 문자, 숫자, 하이픈(-) 및 밑줄(_)만 사용해야 합니다.
  • 자동 생성된 쿠폰 코드 수 제한. 이제 Commerce에서 자동으로 생성되는 쿠폰 코드 수를 제한합니다. 기본 최대값은 250,000입니다. 상인은 새 제품을 사용할 수 있습니다 Code Quantity Limit 구성 옵션 (Stores > Settings:Configuration > Customers > Promotions)을 클릭하여 이 새 제한을 제어합니다.

2.4.4-p6

Adobe Commerce 2.4.4-p6 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 이 릴리스에는 최신 보안 모범 사례를 준수하는 개선된 보안 기능도 포함되어 있습니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB23-50.

이 릴리스에는 최신 보안 모범 사례를 준수하는 개선된 보안 기능도 포함되어 있습니다.

보안 강조 표시

이 릴리스에는 와 관련된 위험을 완화하는 데 도움이 되는 새로운 전체 페이지 캐시 구성 설정이 도입되었습니다. {BASE-URL}/page_cache/block/esi HTTP 엔드포인트. 이 끝점은 상거래 레이아웃 핸들 및 블록 구조에서 제한되지 않고 동적으로 로드된 콘텐츠 조각을 지원합니다. 새로운 Handles Param 구성 설정은 이 끝점의 값을 설정합니다. handles API당 허용되는 최대 핸들 수를 결정하는 매개 변수입니다. 이 속성의 기본값은 100입니다. 판매자는 관리자( )에서 이 값을 변경할 수 있습니다.Stores > Settings: Configuration > System > Full Page Cache > Handles Param).

알려진 문제

문제: Adobe Commerce에 체크섬 오류 에서 작성기로 다운로드하는 중 오류 발생 repo.magento.com, 및 패키지 다운로드가 중단되었습니다. 이 문제는 프리릴리스 중에 제공된 릴리스 패키지를 다운로드하는 동안 발생할 수 있으며 이 문제는 를 다시 패키징하여 발생합니다. magento/module-page-cache 패키지.

해결 방법: 다운로드 중에 이 오류가 표시되는 판매자는 다음 단계를 수행할 수 있습니다.

  1. 삭제 /vendor 디렉터리가 있는 경우 프로젝트 내에 디렉터리가 있습니다.
  2. 실행 bin/magento composer update magento/module-page-cache 명령입니다. 이 명령은 page cache 패키지.

체크섬 문제가 지속되면 composer.lock 파일을 다시 실행하기 전에 bin/magento composer update 모든 패키지를 업데이트하는 명령입니다.

2.4.4-p5

Adobe Commerce 2.4.4-p5 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB23-42.

jQuery-UI 라이브러리에서 패치를 적용하여 보안 취약성 해결 CVE-2022-31160

jQuery-UI 라이브러리 버전 1.13.1에는 여러 버전의 Adobe Commerce 및 Magento Open Source에 영향을 주는 알려진 보안 취약점(CVE-2022-31160)이 있습니다. 이 라이브러리는 Adobe Commerce 및 Magento Open Source 2.4.4, 2.4.5, 2.4.6의 종속성입니다. 영향을 받는 배포를 실행하는 판매자는 jQuery UI 보안 취약성 CVE-2022-31160 2.4.4, 2.4.5 및 2.4.6 릴리스에 대한 수정 사항 기술 자료 문서입니다.

2.4.4-p4

Adobe Commerce 2.4.4-p4 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 또한 이번 릴리스에는 최신 보안 모범 사례를 통해 규정 준수를 개선하기 위한 보안 개선 사항 및 플랫폼 업그레이드가 포함되어 있습니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB23-35.

jQuery-UI 라이브러리에서 패치를 적용하여 보안 취약성 해결 CVE-2022-31160

jQuery-UI 라이브러리 버전 1.13.1에는 여러 버전의 Adobe Commerce 및 Magento Open Source에 영향을 주는 알려진 보안 취약점(CVE-2022-31160)이 있습니다. 이 라이브러리는 Adobe Commerce 및 Magento Open Source 2.4.4, 2.4.5, 2.4.6의 종속성입니다. 영향을 받는 배포를 실행하는 판매자는 jQuery UI 보안 취약성 CVE-2022-31160 2.4.4, 2.4.5 및 2.4.6 릴리스에 대한 수정 사항 기술 자료 문서입니다.

보안 강조 표시

의 기본 동작 isEmailAvailable GraphQL 쿼리 및 (V1/customers/isEmailAvailable) REST 끝점이 변경되었습니다. 기본적으로 이제 API는 항상 를 반환합니다 true. 판매자는 원래의 비헤이비어 즉, 반환을 활성화할 수 있습니다 true 데이터베이스에 이메일이 없는 경우 false 존재하는 경우.

플랫폼 업그레이드

이 릴리스에 대한 플랫폼 업그레이드는 최신 보안 모범 사례를 통해 규정 준수를 개선합니다.

  • Vannish cache 7.3 지원. 이 릴리스는 최신 버전의 Varnish Cache 7.3과 호환됩니다. Adobe 6.0.x 및 7u.2.x 버전과의 호환성은 유지되지만, Adobe Commerce 2.4.4-p4는 Varnish Cache 버전 7.3 또는 버전 6.0 LTS와만 사용하는 것이 좋습니다.

  • RabbitMQ 3.11 지원. 이 릴리스는 RabbitMQ 3.11의 최신 버전과 호환됩니다. RabbitMQ 3.9와의 호환성은 2023년 8월까지 지원되지만, Adobe은 RabbitMQ 3.11에서만 Adobe Commerce 2.4.4-p4를 사용하는 것을 권장합니다.

  • JavaScript 라이브러리. 오래된 JavaScript 라이브러리가 다음을 포함한 최신 부 또는 패치 버전으로 업그레이드되었습니다. moment.js 라이브러리(v2.29.4), jQuery UI 라이브러리(v1.13.2) 및 jQuery 유효성 검사 플러그인 라이브러리(v1.19.5).

2.4.4-p3

Adobe Commerce 2.4.4-p3 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB23-17.

2.4.4-p2

Adobe Commerce 2.4.4-p2 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 수정 사항을 제공합니다. 한 가지 수정 사항에는 새 구성 설정 생성이 포함됩니다. 다음 이메일이 변경된 경우 이메일 확인 필요 구성 설정을 사용하면 관리자가 전자 메일 주소를 변경할 때 전자 메일 확인이 필요합니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 게시판 APSB22-48.

AC-3022.patch를 적용하여 DHL을 배송 운송업체로 계속 제공

DHL은 스키마 버전 6.2를 도입했으며 조만간 스키마 버전 6.0을 더 이상 사용하지 않을 예정입니다. DHL 통합을 지원하는 Adobe Commerce 2.4.4 및 이전 버전은 버전 6.0만 지원합니다. 이러한 릴리스를 배포하는 판매자는 AC-3022.patch 그들의 가장 빠른 편의에 따라 DHL을 운송업체로 계속 제공할 수 있습니다. 다음을 참조하십시오. DHL을 배송 운송업체로 계속 제공하기 위해 패치 적용 패치 다운로드 및 설치에 대한 자세한 내용은 기술 자료 문서를 참조하십시오.

2.4.4-p1

Adobe Commerce 2.4.4-p1 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 수정 사항을 제공합니다. 또한 이번 릴리스에는 최신 보안 모범 사례를 준수하도록 개선된 보안 기능도 포함되어 있습니다.

보안 버그 수정에 대한 최신 정보는 다음을 참조하십시오. Adobe 보안 공지.t

적용 AC-3022.patch 운송 업체로 DHL을 계속 제공하다

DHL은 스키마 버전 6.2를 도입했으며 조만간 스키마 버전 6.0을 더 이상 사용하지 않을 예정입니다. DHL 통합을 지원하는 Adobe Commerce 2.4.4 및 이전 버전은 버전 6.0만 지원합니다. 이러한 릴리스를 배포하는 판매자는 AC-3022.patch 그들의 가장 빠른 편의에 따라 DHL을 운송업체로 계속 제공할 수 있습니다. 다음을 참조하십시오. DHL을 배송 운송업체로 계속 제공하기 위해 패치 적용 패치 다운로드 및 설치에 대한 자세한 내용은 기술 자료 문서를 참조하십시오.

보안 주요 사항

이 릴리스의 보안 개선 사항은 다음을 포함하여 최신 보안 모범 사례를 준수하도록 개선합니다.

  • ACL 리소스가 인벤토리에 추가되었습니다.
  • 인벤토리 템플릿 보안이 향상되었습니다.

알려진 문제

문제: 2.4.4-p1 패키지에서 실행할 때 웹 API 및 통합 테스트에 이 오류가 표시됩니다. [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69. 해결 방법: 를 실행하여 이전 버전의 Monolog를 설치합니다. require monolog/monolog:2.6.0 명령입니다.

문제: 판매자는 Adobe Commerce 2.4.4에서 Adobe Commerce 2.4.4-p1로 업그레이드하는 동안 패키지 버전 다운그레이드 알림을 받을 수 있습니다. 이러한 메시지는 무시할 수 있습니다. 패키지 버전의 불일치는 패키지 생성 중 예외 항목에서 발생합니다. 제품 기능은 영향을 받지 않았습니다. 다음을 참조하십시오. 2.4.4에서 2.4.4-p1로 업그레이드한 후 패키지 다운그레이드됨 영향을 받는 시나리오 및 해결 방법에 대한 논의에 대한 기술 자료 문서입니다.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f