Beveiligingsupdate beschikbaar voor Adobe Commerce - APSB24-40
Nota : **Dit is een dringende update met betrekking tot CVE-2024-34102. Adobe is zich ervan bewust dat CVE-2024-34102 in het wild is uitgebuit in zeer beperkte aanvallen op Adobe Commerce-handelaren.
Op 17 juli 2024 hebben we een hotfix uitgebracht naast de beveiligingsupdate van 11 juni 2024 en/of de geïsoleerde patch die op 28 juni 2024 werd uitgebracht.
Gelieve te controleren alle productie en non-production milieu's helpen uw opslag volledig op alle instanties wordt gepatcheerd. Neem direct actie om de kwetsbaarheid op te lossen.
Nota : Voor Adobe Commerce op de slechts verkopers van de Wolk:
- Zorg ervoor dat u op de recentste versie van ECE Hulpmiddelen bent. Als u dat niet doet, voert u een upgrade uit (of gaat u verder met item 2). Voer de volgende opdracht uit om uw bestaande versie te controleren:
composer show magento/ece-tools
- Controleer of het bestand
op-exclude.txt
aanwezig is als de nieuwste versie van ECE Tools al wordt gebruikt. Voer hiertoe de volgende opdracht uit:ls op-exclude.txt
. Als dit bestand niet aanwezig is, voegt u https://github.com/magento/magento-cloud/blob/master/op-exclude.txt toe aan uw repo en past u de wijziging toe en herstelt u deze. - Zonder het moeten ECE Hulpmiddelen bevorderen, kunt u ook toevoegen/wijzigen https://github.com/magento/magento-cloud/blob/master/op-exclude.txt in uw repo, dan de verandering begaan en herstelt.
Optie 1 - voor handelaren die niet de veiligheidsupdate van 11 juni, 2024, noch de geïsoleerde flard hebben toegepast die op 28 juni, 2024 wordt vrijgegeven
- Pas hotfix toe die op 17 juli 2024 is uitgebracht.
- Pas de beveiligingspatch toe.
- Onderhoudsmodus inschakelen.
- Uitvoering van uitsnijden uitschakelen (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:disable
). - roteer uw encryptiesleutels.
- Maak de cache leeg.
- Enable cron execute (Commerce on Cloud command:
vendor/bin/ece-tools cron:enable
). - Onderhoudsmodus uitschakelen.
OF
- Breng de geïsoleerde pleister aan. Nota : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
- Onderhoudsmodus inschakelen.
- Uitvoering van uitsnijden uitschakelen (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:disable
). - roteer uw encryptiesleutels.
- Maak de cache leeg.
- Enable cron execute (Commerce on Cloud command:
vendor/bin/ece-tools cron:enable
). - Onderhoudsmodus uitschakelen.
Optie 2 - voor handelaren die reeds de veiligheidsupdate van 11 juni, 2024, en/of het geïsoleerde flard hebben toegepast die op 28 juni, 2024 wordt vrijgegeven
- Pas hotfix toe die op 17 juli 2024 is uitgebracht.
- Onderhoudsmodus inschakelen.
- Uitvoering van uitsnijden uitschakelen (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:disable
). - roteer uw encryptiesleutels.
- Maak de cache leeg.
- Enable cron execute (Commerce on Cloud command:
vendor/bin/ece-tools cron:enable
). - Onderhoudsmodus uitschakelen.
Optie 3 - voor handelaren die reeds (1) de veiligheidsupdate van 11 Juni, 2024, en/of (2) de geïsoleerde flard hebben toegepast die op 28 Juni, 2024, en (3) uw encryptiesleutels werd vrijgegeven
- Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.
Nota : Om ervoor te zorgen u na bevordering nog veilig bent, moet u uw encryptiesleutels ook roteren:
- Onderhoudsmodus inschakelen.
- Uitvoering van uitsnijden uitschakelen (Commerce op Cloud, opdracht:
vendor/bin/ece-tools cron:disable
). - Roteer de coderingssleutels.
- Enable cron execute (Commerce on Cloud command:
vendor/bin/ece-tools cron:enable
). - Onderhoudsmodus uitschakelen.
In dit artikel vindt u hoe u de geïsoleerde patch voor dit probleem kunt implementeren voor de huidige en eerdere versies van Adobe Commerce en Magento Open Source.
Nota : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
Beschrijving description
Betrokken producten en versies
Adobe Commerce op Cloud, Adobe Commerce op locatie en Magento Open Source:
- 2.4.7-p1 en lager
- 2.4.6-p6 en eerdere versies
- 2.4.5-p8 en eerder
- 2.4.4-p9 en eerder
Resolutie resolution
Oplossing voor Adobe Commerce op Cloud, Adobe Commerce on-premise Software en Magento Open Source
Om de kwetsbaarheid voor de betrokken producten en versies te helpen oplossen, moet u het VULN-27015 flard (afhankelijk van uw versie) toepassen en uw encryptiesleutels roteren.
Details hotfix
- Download Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
Geïsoleerde patchdetails
Nota : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
Gebruik de volgende bijgevoegde patches, afhankelijk van uw Adobe Commerce/Magento Open Source-versie:
Voor versie 2.4.7:
Voor versies 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
Voor versies 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
Voor versies 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
De geïsoleerde patch en de hotfix aanbrengen
Pak het dossier uit en zie hoe te om een componentenflard toe te passen die door Adobein onze basis van steunkennis voor instructies wordt verstrekt.
Alleen voor Adobe Commerce op Cloud-handelaren - Hoe kan ik zien of de geïsoleerde patches zijn aangebracht?
Aangezien het niet mogelijk is om eenvoudig te controleren of het probleem is gerepareerd, kunt u beter controleren of de geïsoleerde VULN-27015-patch correct is toegepast.
U kunt dit doen door de volgende stappen te nemen, gebruikend het dossier VULN-27015-2.4.7_COMPOSER.patch
als voorbeeld:
-
Installeer het Hulpmiddel van de Patches van de Kwaliteit.
-
Voer de opdracht uit:
vendor/bin/magento-patches -n status |grep "27015\|Status"
-
U zou output gelijkaardig aan dit moeten zien, waar VULN-27015 terugkeert Toegepaste status:
table 0-row-6 1-row-6 ID Titel Categorie Oorsprong Status Details N.v.t. …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Overige Lokaal Toegepast Type reparatie: Aangepast
De coderingssleutel roteren/wijzigen nadat de patch is toegepast
Voor begeleiding op hoe te om de encryptiesleutel te roteren/te veranderen na het toepassen van het flard, gelieve te verwijzen naar Admin systeemgids: De sleutel van de Encryptiein de documentatie van de Gids van de Systemen van Commerce Admin.
Aanvullende richtlijnen voor het beveiligen van uw winkel en het roteren van coderingssleutels
Voor extra begeleiding bij het beveiligen van uw opslag en het roteren van encryptiesleutels betreffende CVE-2024-34102, zie Richtlijnen bij het beveiligen van uw opslag en het roteren van encryptiesleutels: CVE-2024-34102, ook in de Kennisbank van Adobe Commerce.
Beveiligingsupdates
Beveiligingsupdates beschikbaar voor Adobe Commerce:
Gerelateerde lezing
laat of maakt onderhoudswijzein de Gids van de Installatie van Adobe Commerce toe onbruikbaar