Beveiligingsupdates beschikbaar voor Adobe Commerce APSB22-12

NOTE
UPDATE: We hebben extra beveiligingsbeveiligingen ontdekt die nodig zijn voor CVE-2022-24086 en hebben een update uitgebracht om deze te verhelpen (CVE-2022-24087). De veiligheidsupdate voor klanten is beschikbaar hier.

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Commerce en Magento Open Source. Deze updates verhelpen een kwetsbaarheid die kritiekwordt verklaard. Succesvolle uitbuiting kan leiden tot het uitvoeren van willekeurige code.

Het is de Adobe bekend dat CVE-2022-24086 is gebruikt in zeer beperkte aanvallen op Adobe Commerce-handelaren. De Adobe is niet op de hoogte van enig wild misbruik van het in deze update behandelde probleem (CVE-2022-24087).

Dit artikel bevat aanvullende oplossingsdetails voor het oplossen van het probleem.

Betrokken producten en versies

  • Adobe Commerce en Magento Open Source 2.3.3-p1 - 2.3.7-p2 en 2.4.0 - 2.4.3-p1

Oplossing voor Adobe Commerce op cloudinfrastructuur

Het probleem werd opgelost in het pakket van de Patches van de Wolk v1.0.16. Wij adviseren bevordering aan het recentste pakket van de Patches van de Wolkom deze kwestie te bevestigen. Het nieuwste pakket met cloudpatches bevat alle upgrades van eerdere pakketten.

Voordat u gaat upgraden naar het nieuwste pakket voor cloudpatches, moet u de aangepaste patches voor APSB22-12 verwijderen. Met name de patches MDVA-43395 en MDVA-43443. Volg de onderstaande stappen om dit te doen.

  1. Controleer of de patches MDVA-43395 en MDVA-43443 zijn geïnstalleerd. Volg deze stappenom te weten of de flarden worden toegepast.
  2. Als de flarden geïnstalleerd zijn, volg deze stappen om hente desinstalleren.
  3. Voer de volgende opdracht uit om bij te werken naar het nieuwste pakket met cloudpatches: composer update magento/magento-cloud-patches .
  4. Leg composer.lock - en composer.json -bestanden vast en duw.
  5. Opnieuw implementeren.

Oplossing voor Adobe Commerce op locatie en Magento Open Source

Om de kwetsbaarheid op te lossen als u zich in Adobe Commerce op locatie of Magento Open Source bevindt, moet u eerst twee patches toepassen: MDVA-43395 patch en daarna MDVA-43443 bovenop de patch.

Gebruik de volgende bijgevoegde patches, afhankelijk van uw Adobe Commerce-versie:

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

Een componentpatch toepassen

Pak het dossier uit en volg de instructies op hoe te om een componentenflard toe te passen die door Adobewordt verstrekt.

Hoe te om te bepalen of de pleisters zijn aangebracht how-to-tell-whether-the-patches-have-been-applied

Aangezien het niet mogelijk is om gemakkelijk te controleren of de kwestie werd gepatenteerd, zou u kunnen willen controleren of de flarden MDVA-43395 en MDVA-43443 met succes zijn toegepast.

U kunt dit doen door de volgende stappen te nemen:

  1. installeer het Hulpmiddel van de Patches van de Kwaliteit.
  2. Voer de volgende opdracht uit: vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. U zou deze output moeten zien - MDVA-43395 keert de N/A status terug en MDVA-43443 keert de Toegepaste status terug:
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

Beveiligingsupdates

Beveiligingsupdates beschikbaar voor Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a