설명서Commerce릴리스 정보

Adobe Commerce 2.4.7 보안 패치 릴리스 노트

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 주제:

작성 대상:

  • 경험
  • 관리자
  • 개발자

이러한 보안 패치 릴리스 노트는 Adobe Commerce 배포의 보안을 강화하기 위해 업데이트를 캡처합니다. 정보에는 다음이 포함되지만 이에 국한되지 않습니다.

  • 보안 버그 수정
  • 보안 강조는 보안 패치에 포함된 개선 사항 및 업데이트에 대한 자세한 내용을 제공합니다
  • 알려진 문제
  • 필요한 경우 추가 패치를 적용하는 지침
  • 릴리스에 포함된 핫픽스에 대한 정보

보안 패치 릴리스에 대해 자세히 알아보기:

2.4.7-p3

Adobe Commerce 2.4.7-p3 보안 릴리스는 이전 릴리스 2.4.7에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.

보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-73을 참조하십시오.

NOTE
이 보안 패치를 설치한 후 Adobe Commerce B2B 판매자도 최신 호환 가능한 B2B 보안 패치 릴리스로 업데이트해야 합니다. B2B 릴리스 정보를 참조하세요.

강조 표시

이번 릴리스에는 다음과 같은 주요 사항이 포함됩니다.

  • TinyMCE 업그레이드—이제 관리자의 WYSIWYG 편집기에서 최신 버전의 TinyMCE 종속성(7.3​)을 사용합니다.

    • TinyMCE 7.3은 향상된 사용자 경험, 향상된 공동 작업 및 향상된 효율성을 제공합니다. TinyMCE 5는 2.4.8 릴리스 라인에서 제거되었습니다​.

    • TinyMCE 5.10에서 보안 취약성(CVE-2024-38357)이 보고되었으므로 현재 지원되는 모든 릴리스 라인에 대해 종속성도 업그레이드되었으며 모든 2024년 10월 보안 패치에 포함되었습니다.

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js 업그레이드—이제 Adobe Commerce에서 최신 버전의 Require.js(2.3.7)를 사용합니다.

    • Require.js 2.3.6에 보안 취약성(CVE-2024-38999)이 보고되었으므로 현재 지원되는 모든 릴리스 라인에 대해 종속성도 업그레이드되었으며 모든 2024년 10월 보안 패치에 포함되었습니다.

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
이러한 업데이트는 이전 버전과 호환되며 사용자 지정 및 확장에 영향을 주지 않습니다​.

이 릴리스에 포함된 핫픽스

이 릴리스에는 Braintree 결제 게이트웨이 관련 문제를 해결하기 위한 핫픽스가 포함되어 있습니다.

이 시스템에는 이제 결제 게이트웨이로 Braintree을 사용할 때 3DS VISA 위임 요구 사항을 이행하는 데 필요한 필드가 포함됩니다. 이를 통해 모든 거래가 VISA가 정한 최신 보안 표준을 준수하도록 할 수 있다. 이전에는 이러한 추가 필드가 전송된 결제 정보에 포함되지 않아 새로운 비자 요건을 준수하지 않을 수 있었습니다.

2.4.7-p2

Adobe Commerce 2.4.7-p2 보안 릴리스는 이전 릴리스 2.4.7에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.

보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-61을 참조하십시오.

강조 표시

이번 릴리스에는 다음과 같은 주요 사항이 포함됩니다.

  • one-time passwords​ 에 대한 ​속도 제한—이제 two-factor authentication (2FA) one-time password (OTP) 유효성 검사에서 속도 제한을 사용하도록 설정하는 다음 새 시스템 구성 옵션을 사용할 수 있습니다.

    • 2단계 인증에 대한 다시 시도 제한
    • 2단계 인증 잠금 시간(초)

    Adobe은 무차별 대입 공격을 완화하기 위해 재시도 횟수를 제한하기 위해 2FA OTP 유효성 검사에 대한 임계값을 설정하는 것을 권장합니다. 자세한 내용은 구성 참조 안내서 ​의 보안 > 2FA를 참조하십시오.

  • 암호화 키 회전—이제 암호화 키를 변경하는 데 새 CLI 명령을 사용할 수 있습니다. 자세한 내용은 암호화 키 순환 문제 해결: CVE-2024-34102 기술 문서를 참조하십시오.

  • CVE-2020-27511 ​에 대한 수정 사항 - Prototype.js 보안 취약점을 해결합니다.

  • CVE-2024-39397🔗 ​에 대한 수정 사항 - 원격 코드 실행 보안 취약점을 해결합니다. 이 취약성은 온-프레미스 또는 자체 호스팅 배포용 Apache 웹 서버를 사용하는 가맹점에 영향을 줍니다. 이 수정 사항은 격리된 패치로도 사용할 수 있습니다. 자세한 내용은 Adobe Commerce에 사용 가능한 보안 업데이트 - APSB24-61 기술 자료 문서를 참조하십시오.

이 릴리스에 포함된 핫픽스

이 릴리스에는 다음 핫픽스가 포함됩니다.

2.4.7-p1

Adobe Commerce 2.4.7-p1 보안 릴리스는 이전 릴리스 2.4.7에서 식별된 취약점에 대한 보안 버그 수정 사항을 제공합니다.

보안 버그 수정에 대한 최신 정보는 Adobe 보안 게시판 APSB24-40을 참조하십시오.

CVE-2024-34102용 핫픽스 적용

IMPORTANT
CVE-2024-34102과(와) 관련된 마지막 통신에 대한 긴급 업데이트입니다. Adobe은 Adobe Commerce 판매자를 대상으로 하는 매우 제한적인 공격에서 CVE-2024-34102 이 야생에서 악용되었음을 인지하고 있습니다. 취약성을 해결하기 위한 조치를 취하지 않았다면 즉시 수행하십시오.

2024년 6월 11일에 릴리스된 보안 패치 또는 2024년 6월 28일에 릴리스된 격리된 패치를 적용하지 않은 고객의 경우:

옵션 1:

  1. 2024년 6월 11일에 릴리스된 보안 패치 중 하나를 적용합니다.

  2. 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.

  3. 암호화 키를 회전합니다.

옵션 2:

  1. 격리된 패치를 적용합니다.

  2. 암호화 키를 회전합니다.

2024년 6월 11일에 릴리스된 보안 패치 또는 2024년 6월 28일에 릴리스된 격리된 패치를 이미 적용한 고객의 경우:

  1. 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.

  2. 암호화 키를 회전합니다.

이미 1) 2024년 6월 11일에 릴리스된 보안 패치를 적용했거나, 2) 2024년 6월 28일에 릴리스된 격리된 패치를 적용했거나, 3) 암호화 키를 회전한 고객의 경우:

  1. 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.

강조 표시

이번 릴리스에는 다음과 같은 주요 사항이 포함됩니다.

  • Google Authenticator에 대한 OTP(일회성 암호) 설정을 업데이트합니다-이 업데이트는 2.4.7에서 이전 버전과 호환되지 않는 변경으로 인해 발생한 오류를 해결하는 데 필요합니다. 이제 OTP Window 필드에 대한 설명에 설정에 대한 정확한 설명이 있으며 기본값이 1에서 29(으)로 변경되었습니다.

  • B2B 버전 호환성 - Commerce 버전 2.4.7-p1과의 호환성을 위해 Adobe Commerce B2B 확장 기능이 있는 판매자는 B2B 버전 1.4.2-p1(으)로 업그레이드해야 합니다.

이 릴리스에 포함된 핫픽스

Adobe Commerce 2.4.7-p1은 SOAP에서 REST API로 UPS 통합 마이그레이션 범위에서 도입된 문제를 해결합니다. 이 문제는 미국 외에서 배송하는 고객에게 영향을 미쳐 UPS로 배송을 생성하는 포장물에 킬로그램 및 센티미터의 지표 시스템/SI 측정을 사용할 수 없게 했습니다. 자세한 내용은 SOAP에서 RESTful API로 UPS 배송 방법 통합 마이그레이션 기술 자료 문서를 참조하십시오.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f