Adobe Commerce - APSB24-40에서 사용 가능한 보안 업데이트
참고: **CVE-2024-34102 관련 긴급 업데이트입니다. Adobe은 Adobe Commerce 판매자를 대상으로 하는 매우 제한적인 공격에서 CVE-2024-34102 이 야생에서 악용되었음을 인지하고 있습니다.
2024년 7월 17일에 2024년 6월 11일에 보안 업데이트 릴리스 및/또는 2024년 6월 28일에 릴리스된 격리된 패치 외에 핫픽스를 릴리스했습니다.
모든 프로덕션 및 비프로덕션 환경을 확인하여 스토어가 모든 인스턴스에서 완전히 패치되었는지 확인하십시오. 취약성을 해결하기 위해 즉각적인 조치를 취하십시오.
참고: 클라우드 판매자의 Adobe Commerce 전용:
- 최신 버전의 ECE Tools를 사용하고 있는지 확인하십시오. 그렇지 않으면 업그레이드하거나 2번 항목으로 건너뜁니다. 기존 버전을 확인하려면 다음 명령을 실행하십시오.
composer show magento/ece-tools - 최신 버전의 ECE 도구를 사용하고 있는 경우
op-exclude.txt파일이 있는지 확인하십시오. 이렇게 하려면ls op-exclude.txt명령을 실행합니다. 이 파일이 없으면 리포지토리에 https://github.com/magento/magento-cloud/blob/master/op-exclude.txt을 추가한 다음 변경 내용을 커밋하고 다시 배포합니다. - ECE 도구를 업그레이드하지 않고도 리포지토리에서 https://github.com/magento/magento-cloud/blob/master/op-exclude.txt 을 추가/수정한 다음 변경 사항을 커밋하고 재배포할 수도 있습니다.
옵션 1 - 2024년 6월 11일부터 보안 업데이트를 적용하지 않은 판매자와 2024년 6월 28일에 릴리스된 격리된 패치의 경우
- 2024년 7월 17일에 릴리스된 적용 핫픽스.
- 보안 패치를 적용합니다.
- 유지 관리 모드를 활성화합니다.
- 크론 실행을 사용하지 않도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:disable의 Commerce). - 암호화 키를 회전합니다.
- 캐시를 플러시합니다.
- 크론 실행을 사용하도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:enable의 Commerce). - 유지 관리 모드를 비활성화합니다.
또는
- 분리된 패치를 적용합니다. 참고: 이 버전의 격리된 패치에는 2024년 7월 17일 핫픽스가 포함되어 있습니다.
- 유지 관리 모드를 활성화합니다.
- 크론 실행을 사용하지 않도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:disable의 Commerce). - 암호화 키를 회전합니다.
- 캐시를 플러시합니다.
- 크론 실행을 사용하도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:enable의 Commerce). - 유지 관리 모드를 비활성화합니다.
옵션 2 - 2024년 6월 11일부터 보안 업데이트 및/또는 2024년 6월 28일에 릴리스된 격리된 패치를 이미 적용한 판매자의 경우
- 2024년 7월 17일에 릴리스된 적용 핫픽스.
- 유지 관리 모드를 활성화합니다.
- 크론 실행을 사용하지 않도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:disable의 Commerce). - 암호화 키를 회전합니다.
- 캐시를 플러시합니다.
- 크론 실행을 사용하도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:enable의 Commerce). - 유지 관리 모드를 비활성화합니다.
옵션 3 - (1) 2024년 6월 11일부터 보안 업데이트를 적용했거나 (2) 2024년 6월 28일에 릴리스된 격리된 패치를 적용했거나 (3) 암호화 키를 회전한 판매자의 경우
- 2024년 7월 17일에 릴리스된 핫픽스를 적용합니다.
참고: 업그레이드한 후에도 안전하게 보호하려면 암호화 키도 회전해야 합니다.
- 유지 관리 모드를 활성화합니다.
- 크론 실행을 사용하지 않도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:disable의 Commerce). - 암호화 키 회전.
- 크론 실행을 사용하도록 설정합니다(클라우드 명령:
vendor/bin/ece-tools cron:enable의 Commerce). - 유지 관리 모드를 비활성화합니다.
이 문서에서는 현재 및 이전 버전의 Adobe Commerce 및 Magento Open Source에 대해 이 문제에 대해 격리된 패치를 구현하는 방법을 알아봅니다.
참고: 이 버전의 격리된 패치에는 2024년 7월 17일 핫픽스가 포함되어 있습니다.
설명 description
영향을 받는 제품 및 버전
Adobe Commerce on Cloud, Adobe Commerce on-premise 및 Magento Open Source:
- 2.4.7-p1 및 이전
- 2.4.6-p6 및 이전
- 2.4.5-p8 및 이전
- 2.4.4-p9 및 이전
해결 방법 resolution
Adobe Commerce on Cloud, Adobe Commerce 온프레미스 소프트웨어 및 Magento Open Source용 솔루션
영향을 받는 제품 및 버전에 대한 취약성을 해결하려면 VULN-27015 패치(버전에 따라 다름)를 적용하고 암호화 키를 회전해야 합니다.
핫픽스 세부 정보
- 핫픽스 AC-12485_Hotfix_COMPOSER_patch.zip 다운로드
격리된 패치 세부 정보
참고: 이 버전의 격리된 패치에는 2024년 7월 17일 핫픽스가 포함되어 있습니다.
Adobe Commerce/Magento Open Source 버전에 따라 다음과 같이 첨부된 패치를 사용하십시오.
버전 2.4.7의 경우
버전 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
버전 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
버전 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
격리된 패치 및 핫픽스를 적용하는 방법
파일의 압축을 풀고 지침이 필요하면 지원 기술 자료에서 Adobe에서 제공하는 작성기 패치를 적용하는 방법을 참조하십시오.
Adobe Commerce on Cloud 판매자의 경우에만 - 분리된 패치가 적용되었는지 여부를 확인하는 방법
문제가 패치되었는지 쉽게 확인할 수 없음을 고려하여 VULN-27015 분리 패치가 성공적으로 적용되었는지 확인할 수 있습니다.
파일 VULN-27015-2.4.7_COMPOSER.patch을(를) 예로 사용하여 다음 단계를 수행하여 이 작업을 수행할 수 있습니다.
-
품질 패치 도구를 설치하십시오.
-
명령 실행:
vendor/bin/magento-patches -n status |grep "27015\|Status" -
다음과 유사한 출력이 표시되어야 합니다. 여기서 VULN-27015은 적용됨 상태:
table 0-row-6 1-row-6 ID 제목 카테고리 원본 상태 세부 사항 N/A …/m2-hotfix/VULN-27015-2.4.7_COMPOSER_patch.patch 기타 로컬 적용됨 패치 유형: 사용자 정의
패치를 적용한 후 암호화 키 회전/변경
패치를 적용한 후 암호화 키를 회전/변경하는 방법에 대한 지침은 을(를) 참조하십시오. 관리 시스템 안내서: Commerce 관리 시스템 안내서 설명서의 암호화 키.
저장소 보안 및 암호화 키 회전에 대한 추가 지침
CVE-2024-34102에 대한 저장소 보안 및 암호화 키 회전에 대한 추가 지침은 Adobe Commerce 기술 자료에서도 저장소 보안 및 암호화 키 회전에 대한 지침: CVE-2024-34102을 참조하십시오.
보안 업데이트
Adobe Commerce에서 사용할 수 있는 보안 업데이트:
관련 읽기
Adobe Commerce 설치 가이드의 유지 관리 모드 활성화 또는 비활성화