Beveiligingsupdate beschikbaar voor Adobe Commerce - APSB24-40
Op 17 juli 2024 hebben we een hotfix uitgebracht naast de beveiligingsupdate van 11 juni 2024 en/of de geïsoleerde patch die op 28 juni 2024 is uitgebracht.
Gelieve te controleren alle productie en non-production milieu's helpen uw opslag volledig op alle instanties wordt gepatcheerd. Gelieve te nemen directe actie om de kwetsbaarheid op te lossen.
1. Zorg ervoor dat u de nieuwste versie van ECE Tools gebruikt. Als u dat niet doet, voert u een upgrade uit (of gaat u verder met item 2). Om uw bestaande versie te controleren, stel dit bevel in werking:
composer show magento/ece-tools
2. Controleer of het
op-exclude.txt
-bestand aanwezig is als de nieuwste versie van ECE Tools al beschikbaar is. Om dit te doen, stel dit bevel in werking:ls op-exclude.txt
.Als dit dossier niet aanwezig is, voeg https://github.com/magento/magento-cloud/blob/master/op-exclude.txt aan uw repo toe, dan begaat de verandering en herstelt.3. U hoeft ECE Tools niet te upgraden, maar u kunt ook gewoon https://github.com/magento/magento-cloud/blob/master/op-exclude.txt toevoegen of wijzigen in uw repo, en vervolgens de wijziging doorvoeren en opnieuw implementeren.
Optie 1 - voor handelaren die niet de veiligheidsupdate van 11 juni, 2024 hebben toegepast, noch de geïsoleerde die flard op 28 juni, 2024 wordt vrijgegeven
- Pas hotfix toe die op 17 juli 2024 is uitgebracht.
- Pas de beveiligingspatch toe.
- Schakel maintenance mode in.
- Schakel cron -uitvoering uit (opdracht Commerce op Cloud:
vendor/bin/ece-tools cron:disable
). - roteer uw encryption keys.
- Maak de cache leeg.
- Schakel cron uit (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:enable
). - Schakel maintenance mode uit.
OF
- Breng de geïsoleerde pleister aan. NOTA : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
- Schakel maintenance mode in.
- Schakel cron -uitvoering uit (opdracht Commerce op Cloud:
vendor/bin/ece-tools cron:disable
). - roteer uw encryption keys.
- Maak de cache leeg.
- Schakel cron uit (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:enable
). - Schakel maintenance mode uit.
Optie 2 - voor verkopers die reeds de veiligheidsupdate van 11 Juni, 2024, en/of het geïsoleerde flard hebben toegepast dat op 28 juni, 2024 wordt vrijgegeven
- Pas hotfix toe die op 17 juli 2024 is uitgebracht.
- Schakel maintenance mode in.
- Schakel cron -uitvoering uit (opdracht Commerce op Cloud:
vendor/bin/ece-tools cron:disable
). - roteer uw encryption keys.
- Maak de cache leeg.
- Schakel cron uit (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:enable
). - Schakel maintenance mode uit.
Optie 3 - voor verkopers die reeds (1) hebben toegepast de veiligheidsupdate van 11 Juni, 2024, en/of (2) de geïsoleerde flard op 28 Juni, 2024, en (3) roteerde uw encryptiesleutels
- Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.
1. Schakel maintenance mode in.
2. Schakel cron -uitvoering uit (opdracht Commerce op Cloud:
vendor/bin/ece-tools cron:disable
).3. Roteer de encryption keys .
4. Schakel cron uit (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:enable
).5. Schakel maintenance mode uit.
In dit artikel vindt u hoe u de geïsoleerde patch voor dit probleem kunt implementeren voor de huidige en eerdere versies van Adobe Commerce en Magento Open Source.
NOTA : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
Betrokken producten en versies
Adobe Commerce on Cloud, Adobe Commerce on-premise en Magento Open Source:
- 2.4.7-p1 en lager
- 2.4.6-p6 en eerdere versies
- 2.4.5-p8 en eerder
- 2.4.4-p9 en eerder
Oplossing voor Adobe Commerce op Cloud, Adobe Commerce on-premise software en Magento Open Source
Om de kwetsbaarheid voor de betrokken producten en versies te helpen oplossen, moet u de VULN-27015 -patch (afhankelijk van uw versie) toepassen en de encryption keys roteren.
Details hotfix hotfix
- Download Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
Geïsoleerde patchdetails
NOTA : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
Gebruik de volgende bijgevoegde patches, afhankelijk van uw Adobe Commerce/Magento Open Source-versie:
Voor versie 2.4.7, 2.4.7-p1:
Voor versies 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6:
Voor versies 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8:
Voor versies 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9:
De geïsoleerde patch en de hotfix
Pak het dossier uit en zie hoe te om een componentenflard toe te passen die door Adobein onze basis van steunkennis voor instructies wordt verstrekt.
Alleen voor Adobe Commerce op Cloud-handelaren - Hoe kan ik zien of de geïsoleerde patches zijn aangebracht?
Aangezien het niet mogelijk is om eenvoudig te controleren of de uitgave is gerepareerd, kunt u beter controleren of de VULN-27015 geïsoleerde patch correct is toegepast.
u kunt dit doen door de volgende stappen te nemen, gebruikend het dossier VULN-27015-2.4.7_COMPOSER.patch
als voorbeeld :
-
Voer de opdracht uit:
-
U zou output gelijkend op dit moeten zien, waar VULN-27015 de Toegepaste status terugkeert:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
De encryption key na het aanbrengen van de patch roteren/wijzigen
- Voor begeleiding op hoe te om encryption key na het toepassen van het flard te roteren/te veranderen, gelieve te verwijzen naar Admin systeemgids: Encryption key in de documentatie van de Gids van de Systemen van Commerce Admin.
Beveiligingsupdates
Beveiligingsupdates beschikbaar voor Adobe Commerce: