Adobe Commerce 2.4.6 보안 패치 릴리스 노트
이러한 보안 패치 릴리스 노트는 Adobe Commerce 배포의 보안을 강화하기 위해 업데이트를 캡처합니다. 정보에는 다음이 포함되지만 이에 국한되지 않습니다.
- 보안 버그 수정
- 보안 강조는 보안 패치에 포함된 개선 사항 및 업데이트에 대한 자세한 내용을 제공합니다
- 알려진 문제
- 필요한 경우 추가 패치를 적용하는 지침
- 릴리스에 포함된 핫픽스에 대한 정보
보안 패치 릴리스에 대해 자세히 알아보기:
- Adobe Commerce 보안 패치 릴리스 개요
- 보안 패치 릴리스 다운로드 및 적용 지침은 업그레이드 안내서에서 확인할 수 있습니다
2.4.6-p8
Adobe Commerce 2.4.6-p8 보안 릴리스는 이전 릴리스 2.4.6에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.
보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-73을 참조하십시오.
강조 표시
이번 릴리스에는 다음과 같은 주요 사항이 포함됩니다.
-
TinyMCE 업그레이드—이제 관리자의 WYSIWYG 편집기에서 최신 버전의 TinyMCE 종속성(7.3)을 사용합니다.
-
TinyMCE 7.3은 향상된 사용자 경험, 향상된 공동 작업 및 향상된 효율성을 제공합니다. TinyMCE 5는 2.4.8 릴리스 라인에서 제거되었습니다.
-
TinyMCE 5.10에서 보안 취약성(CVE-2024-38357)이 보고되었으므로 현재 지원되는 모든 릴리스 라인에 대해 종속성도 업그레이드되었으며 모든 2024년 10월 보안 패치에 포함되었습니다.
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js 업그레이드—이제 Adobe Commerce에서 최신 버전의 Require.js(2.3.7)를 사용합니다.
-
Require.js 2.3.6에 보안 취약성(CVE-2024-38999)이 보고되었으므로 현재 지원되는 모든 릴리스 라인에 대해 종속성도 업그레이드되었으며 모든 2024년 10월 보안 패치에 포함되었습니다.
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
이 릴리스에 포함된 핫픽스
이 릴리스에는 Braintree 결제 게이트웨이 관련 문제를 해결하기 위한 핫픽스가 포함되어 있습니다.
이 시스템에는 이제 결제 게이트웨이로 Braintree을 사용할 때 3DS VISA 위임 요구 사항을 이행하는 데 필요한 필드가 포함됩니다. 이를 통해 모든 거래가 VISA가 정한 최신 보안 표준을 준수하도록 할 수 있다. 이전에는 이러한 추가 필드가 전송된 결제 정보에 포함되지 않아 새로운 비자 요건을 준수하지 않을 수 있었습니다.
2.4.6-p7
Adobe Commerce 2.4.6-p7 보안 릴리스는 이전 릴리스 2.4.6에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.
보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-61을 참조하십시오.
강조 표시
이번 릴리스에는 다음과 같은 주요 사항이 포함됩니다.
-
one-time passwords 에 대한 속도 제한—이제 two-factor authentication (2FA) one-time password (OTP) 유효성 검사에서 속도 제한을 사용하도록 설정하는 다음 새 시스템 구성 옵션을 사용할 수 있습니다.
- 2단계 인증에 대한 다시 시도 제한
- 2단계 인증 잠금 시간(초)
Adobe은 무차별 대입 공격을 완화하기 위해 재시도 횟수를 제한하기 위해 2FA OTP 유효성 검사에 대한 임계값을 설정하는 것을 권장합니다. 자세한 내용은 구성 참조 안내서 의 보안 > 2FA를 참조하십시오.
-
암호화 키 회전—이제 암호화 키를 변경하는 데 새 CLI 명령을 사용할 수 있습니다. 자세한 내용은 암호화 키 순환 문제 해결: CVE-2024-34102 기술 문서를 참조하십시오.
-
CVE-2020-27511 에 대한 수정 사항 - Prototype.js 보안 취약점을 해결합니다.
-
CVE-2024-39397🔗 에 대한 수정 사항 - 원격 코드 실행 보안 취약점을 해결합니다. 이 취약성은 온-프레미스 또는 자체 호스팅 배포용 Apache 웹 서버를 사용하는 가맹점에 영향을 줍니다. 이 수정 사항은 격리된 패치로도 사용할 수 있습니다. 자세한 내용은 Adobe Commerce에 사용 가능한 보안 업데이트 - APSB24-61 기술 자료 문서를 참조하십시오.
이 릴리스에 포함된 핫픽스
이 릴리스에는 다음 핫픽스가 포함됩니다.
-
PageBuilder 편집기에서 Google 맵이 제대로 렌더링되지 않는 JavaScript 오류를 해결하기 위한 핫픽스입니다. 자세한 내용은 모든 Adobe Commerce 버전에서 Google Maps 액세스 손실에 대한 수정된 패치 기술 자료 문서를 참조하십시오.
-
CVE-2024-34102과 관련된 JSON 웹 토큰(JWT) 유효성 검사 문제를 해결하기 위한 핫픽스. 자세한 내용은 Adobe Commerce-APSB24-40에 사용 가능한 보안 업데이트 기술 자료 문서를 참조하십시오.
2.4.6-p6
Adobe Commerce 2.4.6-p6 보안 릴리스는 이전 릴리스 2.4.6에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.
보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-40을 참조하십시오.
Commerce 버전 2.4.6-p6과의 호환성을 위해 Adobe Commerce B2B 확장 기능이 있는 판매자는 B2B 버전 1.4.2-p1(으)로 업그레이드해야 합니다.
CVE-2024-34102용 핫픽스 적용
2024년 6월 11일에 릴리스된 보안 패치 또는 2024년 6월 28일에 릴리스된 격리된 패치를 적용하지 않은 고객의 경우:
옵션 1:
옵션 2:
2024년 6월 11일에 릴리스된 보안 패치 또는 2024년 6월 28일에 릴리스된 격리된 패치를 이미 적용한 고객의 경우:
이미 1) 2024년 6월 11일에 릴리스된 보안 패치를 적용했거나, 2) 2024년 6월 28일에 릴리스된 격리된 패치를 적용했거나, 3) 암호화 키를 회전한 고객의 경우:
- 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.
Commerce 버전 2.4.6-p6과의 호환성을 위해 Adobe Commerce B2B 확장 기능이 있는 판매자는 B2B 버전 1.4.2-p1(으)로 업그레이드해야 합니다.
강조 표시
-
SRI(Subresource Integrity) 지원이 추가됨 결제 페이지에서 스크립트 무결성을 확인하기 위한 PCI 4.0 요구 사항을 준수합니다. SRI(Subresource Integrity) 지원은 로컬 파일 시스템에 있는 모든 JavaScript 자산에 무결성 해시를 제공합니다. 기본 SRI 기능은 관리자 및 상점 영역의 결제 페이지에서만 구현됩니다. 그러나 판매자는 기본 구성을 다른 페이지로 확장할 수 있습니다. Commerce PHP 개발자 안내서 의 하위 리소스 무결성을 참조하십시오.
-
CSP(콘텐츠 보안 정책)에 대한 변경 사항—PCI 4.0 요구 사항을 준수하도록 Adobe Commerce CSP(콘텐츠 보안 정책)에 대한 구성 업데이트 및 개선 사항입니다. 자세한 내용은 Commerce PHP 개발자 안내서 의 콘텐츠 보안 정책을 참조하십시오.
-
Commerce 관리 및 상점 영역의 결제 페이지에 대한 기본 CSP 구성은 이제
restrict
모드입니다. 다른 모든 페이지의 경우 기본 구성은report-only
모드입니다. 2.4.7 이전 릴리스에서 CSP는 모든 페이지에 대해report-only
모드로 구성되었습니다. -
CSP에서 인라인 스크립트를 실행할 수 있도록 임시 공급자를 추가했습니다. nonce 공급자는 각 요청에 대해 고유한 nonce 문자열을 쉽게 생성할 수 있습니다. 그러면 문자열이 CSP 헤더에 연결됩니다.
-
관리자의 주문 만들기 페이지와 상점 첫 화면의 체크아웃 페이지에 대한 CSP 위반을 보고하도록 사용자 지정 URI를 구성하는 옵션이 추가되었습니다. 관리자 또는 URI를
config.xml
파일에 추가하여 구성을 추가할 수 있습니다.note note NOTE CSP 구성을 restrict
모드로 업데이트하면 Admin 및 Storefront의 결제 페이지에서 기존 인라인 스크립트가 차단될 수 있으며, 이로 인해 페이지가 로드될 때 다음 브라우저 오류가 발생합니다.Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. 필수 스크립트를 허용하도록 화이트리스트 구성을 업데이트하여 이러한 오류를 수정합니다. Commerce PHP 개발자 안내서 의 문제 해결을 참조하십시오.
-
2.4.6-p5
Adobe Commerce 2.4.6-p5 보안 릴리스는 이전 릴리스 2.4.6에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.
이러한 수정 사항에 대한 최신 정보는 Adobe 보안 게시판 APSB24-18을 참조하십시오.
2.4.6-p4
Adobe Commerce 2.4.6-p4 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 이 릴리스에는 최신 보안 모범 사례를 준수하는 개선된 보안 기능도 포함되어 있습니다.
보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-03을 참조하십시오.
강조 표시
이번 릴리스에는 다음과 같은 두 가지 중요한 보안 개선 사항이 도입되었습니다.
-
생성되지 않은 캐시 키의 동작을 변경합니다:
- 이제 블록에 대해 생성되지 않은 캐시 키에는 자동으로 생성되는 키의 접두사와 다른 접두사가 포함됩니다. (생성되지 않은 캐시 키는 템플릿 지시문 구문 또는
setCacheKey
또는setData
메서드를 통해 설정된 키입니다.) - 이제 블록의 생성되지 않은 캐시 키에는 문자, 숫자, 하이픈(-) 및 밑줄(_)만 사용해야 합니다.
- 이제 블록에 대해 생성되지 않은 캐시 키에는 자동으로 생성되는 키의 접두사와 다른 접두사가 포함됩니다. (생성되지 않은 캐시 키는 템플릿 지시문 구문 또는
-
자동 생성된 쿠폰 코드 수에 대한 제한. 이제 Commerce에서 자동으로 생성되는 쿠폰 코드 수를 제한합니다. 기본 최대값은 250,000입니다. 판매자는 새 Code Quantity Limit 구성 옵션(Stores > Settings:Configuration > Customers > Promotions)을 사용하여 이 새 제한을 제어할 수 있습니다.
2.4.6-p3
Adobe Commerce 2.4.6-p3 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 또한 이번 릴리스에는 최신 보안 모범 사례를 준수하도록 개선된 보안 기능도 포함되어 있습니다.
보안 수정 사항에 대한 최신 정보는 Adobe 보안 게시판 APSB23-50을 참조하십시오.
강조 표시
이 릴리스에서는 {BASE-URL}/page_cache/block/esi HTTP
끝점과 관련된 위험을 완화하는 데 도움이 되는 새로운 전체 페이지 캐시 구성 설정을 도입했습니다. 이 끝점은 Commerce 레이아웃 핸들과 블록 구조에서 제한되지 않고 동적으로 로드된 콘텐츠 조각을 지원합니다. 새 Handles Param 구성 설정은 API당 허용되는 최대 핸들 수를 결정하는 이 끝점의 handles
매개 변수의 값을 설정합니다. 이 속성의 기본값은 100입니다. 판매자는 관리자(Stores > Settings:Configuration > System > Full Page Cache > Handles Param)에서 이 값을 변경할 수 있습니다.
이 릴리스에 포함된 핫픽스
Adobe Commerce 2.4.6-p3에는 패치 ACSD-51892에 의해 해결된 성능 저하 해결책이 포함되어 있습니다. 판매자는 이 패치가 다루는 문제의 영향을 받지 않습니다. 이 문제는 ACSD-51892: 구성 파일이 여러 번 로드되는 성능 문제 기술 자료 문서에 설명되어 있습니다.
알려진 문제
문제: repo.magento.com
에서 작성기가 다운로드하는 동안 Adobe Commerce에 wrong checksum
오류가 표시되고 패키지 다운로드가 중단됩니다. 이 문제는 프리릴리스 기간 동안 사용할 수 있는 릴리스 패키지를 다운로드하는 동안 발생할 수 있으며, 이는 magento/module-page-cache
패키지를 다시 패키징했기 때문입니다.
해결 방법: 다운로드하는 동안 이 오류가 표시되는 판매자는 다음 단계를 수행할 수 있습니다.
- 프로젝트 내에
/vendor
디렉터리가 있으면 삭제합니다. bin/magento composer update magento/module-page-cache
명령을 실행합니다. 이 명령은page cache
패키지만 업데이트합니다.
체크섬 문제가 계속되면 bin/magento composer update
명령을 다시 실행하여 모든 패키지를 업데이트하기 전에 composer.lock
파일을 제거하십시오.
2.4.6-p2
Adobe Commerce 2.4.6-p2 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 또한 이번 릴리스에서는 최신 보안 모범 사례를 통해 규정 준수를 개선할 수 있는 보안 개선 사항을 제공합니다.
보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB23-42을 참조하십시오.
CVE-2022-31160용 핫픽스 적용
jQuery-UI
라이브러리 버전 1.13.1에는 여러 버전의 Adobe Commerce 및 Magento Open Source에 영향을 주는 알려진 보안 취약점(CVE-2022-31160)이 있습니다. 이 라이브러리는 Adobe Commerce 및 Magento Open Source 2.4.4, 2.4.5, 2.4.6의 종속성입니다. 영향을 받는 배포를 실행하는 판매자는 jQuery UI 보안 취약점 CVE-2022-31160 수정 사항 for 2.4.4, 2.4.5 및 2.4.6 릴리스 기술 자료 문서에 지정된 패치를 적용해야 합니다.
강조 표시
nginx.sample
파일의 fastcgi_pass
값이 fastcgi_backend
의 이전(pre-2.4.6-p1) 값으로 반환되었습니다. 이 값은 Adobe Commerce 2.4.6-p1에서 실수로 php-fpm:9000
(으)로 변경되었습니다.
이 릴리스에 포함된 핫픽스
Adobe Commerce 2.4.6-p2에는 패치 ACSD-51892에서 해결한 성능 저하 해결 방법이 포함되어 있습니다. 판매자는 이 패치가 다루는 문제의 영향을 받지 않습니다. 이 문제는 ACSD-51892: 구성 파일이 여러 번 로드되는 성능 문제 기술 자료 문서에 설명되어 있습니다.
2.4.6-p1
Adobe Commerce 2.4.6-p1 보안 릴리스는 이전 릴리스에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다. 또한 이번 릴리스에는 최신 보안 모범 사례를 통해 규정 준수를 개선하기 위한 보안 개선 사항 및 플랫폼 업그레이드가 포함되어 있습니다.
보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB23-35을 참조하십시오.
CVE-2022-31160용 핫픽스 적용
jQuery-UI
라이브러리 버전 1.13.1에는 여러 버전의 Adobe Commerce 및 Magento Open Source에 영향을 주는 알려진 보안 취약점(CVE-2022-31160)이 있습니다. 이 라이브러리는 Adobe Commerce 및 Magento Open Source 2.4.4, 2.4.5, 2.4.6의 종속성입니다. 영향을 받는 배포를 실행하는 판매자는 쿼리 UI 보안 취약점 CVE-2022-31160 수정 사항(2.4.4, 2.4.5 및 2.4.6 릴리스)에 지정된 패치를 적용해야 합니다 기술 자료 문서.
강조
isEmailAvailable
GraphQL 쿼리 및 (V1/customers/isEmailAvailable
) REST 끝점의 기본 동작이 변경되었습니다. 기본적으로 이제 API는 항상 true
을(를) 반환합니다. 판매자는 데이터베이스에 전자 메일이 없는 경우 true
을(를) 반환하고 있는 경우 false
을(를) 반환하는 원래 동작을 사용할 수 있습니다.
플랫폼 업그레이드
이 릴리스에 대한 플랫폼 업그레이드는 최신 보안 모범 사례를 통해 규정 준수를 개선합니다.
-
Varnish 캐시 7.3 지원. 이 릴리스는 최신 버전의 Varnish Cache 7.3과 호환됩니다. Adobe 6.0.x 및 7.2.x 버전과의 호환성은 유지되지만, Adobe Commerce 2.4.6-p1은 Varnish Cache 버전 7.3 또는 버전 6.0 LTS와만 사용하는 것이 좋습니다.
-
RabbitMQ 3.11 지원. 이 릴리스는 RabbitMQ 3.11의 최신 버전과 호환됩니다. 호환성은 2023년 8월까지 지원되는 RabbitMQ 3.9와 유지되지만, Adobe은 RabbitMQ 3.11과만 Adobe Commerce 2.4.6-p1을 사용하는 것을 권장합니다.
-
JavaScript 라이브러리. 오래된 JavaScript 라이브러리가
moment.js
라이브러리(v2.29.4),jQuery UI
라이브러리(v1.13.2) 및jQuery
유효성 검사 플러그인 라이브러리(v1.19.5)를 비롯한 최신 부 또는 패치 버전으로 업그레이드되었습니다.
알려진 문제
-
nginx.sample
파일이 실수로fastcgi_pass
의 값을fastcgi_backend
에서php-fpm:9000
(으)로 수정하는 변경 내용으로 업데이트되었습니다. 이 변경 사항은 안전하게 되돌리거나 무시할 수 있습니다. -
B2B 보안 패키지에 대한 종속성이 없으면 B2B 확장을 1.4.0으로 설치하거나 업그레이드할 때 다음 설치 오류가 발생합니다.
code language-none Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.
안정성 태그가 있는 B2B 보안 패키지에 대한 수동 종속성을 추가하여 이 문제를 해결할 수 있습니다. 자세한 내용은 B2B 릴리스 정보를 참조하세요.