Beveiligingsupdates beschikbaar voor Adobe Commerce APSB22-12

NOTE
UPDATE: We hebben extra beveiligingsbeveiligingen ontdekt die nodig zijn voor CVE-2022-24086 en hebben een update uitgebracht om deze te verhelpen (CVE-2022-24087). De beveiligingsupdate voor klanten is beschikbaar hier.

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Commerce en Magento Open Source. Deze updates verhelpen een kwetsbaarheid die wordt beoordeeld kritisch. Succesvolle uitbuiting kan leiden tot het uitvoeren van willekeurige code.

Het is de Adobe bekend dat CVE-2022-24086 is gebruikt in zeer beperkte aanvallen op Adobe Commerce-handelaren. De Adobe is niet op de hoogte van enig wild misbruik van het in deze update behandelde probleem (CVE-2022-24087).

Dit artikel bevat aanvullende oplossingsdetails voor het oplossen van het probleem.

Betrokken producten en versies

  • Adobe Commerce en Magento Open Source 2.3.3-p1 - 2.3.7-p2 en 2.4.0 - 2.4.3-p1

Oplossing voor Adobe Commerce op cloudinfrastructuur

Het probleem is opgelost in Cloud Patches-pakket v1.0.16. We raden u aan de upgrade naar de nieuwste pakket met cloudpatches om dit probleem op te lossen. Het nieuwste pakket met cloudpatches bevat alle upgrades van eerdere pakketten.

Voordat u gaat upgraden naar het nieuwste pakket voor cloudpatches, moet u de aangepaste patches voor APSB22-12 verwijderen. Met name de patches MDVA-43395 en MDVA-43443. Volg de onderstaande stappen om dit te doen.

  1. Controleer of de patches MDVA-43395 en MDVA-43443 zijn geïnstalleerd. Hieronder volgen stappen om te weten of de pleisters zijn aangebracht.
  2. Als de patches zijn geïnstalleerd, voert u de volgende stappen uit: verwijderen.
  3. Voer de volgende opdracht uit als u wilt upgraden naar het nieuwste pakket met cloudpatches: composer update magento/magento-cloud-patches.
  4. Vastleggen en duwen composer.lock en composer.json bestanden.
  5. Opnieuw implementeren.

Oplossing voor Adobe Commerce op locatie en Magento Open Source

Om de kwetsbaarheid op te lossen als u zich in Adobe Commerce op locatie of Magento Open Source bevindt, moet u eerst twee patches toepassen: MDVA-43395 patch en daarna MDVA-43443 bovenop de patch.

Gebruik de volgende bijgevoegde patches, afhankelijk van uw Adobe Commerce-versie:

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

Een componentpatch toepassen

Pak het bestand uit en volg de instructies op Hoe een door Adobe geleverde componentpleister aanbrengen.

Hoe te om te bepalen of de pleisters zijn aangebracht how-to-tell-whether-the-patches-have-been-applied

Aangezien het niet mogelijk is om gemakkelijk te controleren of de kwestie werd gepatenteerd, zou u kunnen willen controleren of de flarden MDVA-43395 en MDVA-43443 met succes zijn toegepast.

U kunt dit doen door de volgende stappen te nemen:

  1. Het gereedschap Kwaliteitspatches installeren.
  2. Voer de volgende opdracht uit: vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. U zou deze output moeten zien - MDVA-43395 keert terug NVT en MDVA-43443 geeft de Toegepast status:
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

Beveiligingsupdates

Beveiligingsupdates beschikbaar voor Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a