DocumentatieCommerceCommerce KB

Beveiligingsupdate beschikbaar voor Adobe Commerce - APSB24-40

Last update: Fri Sep 27 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Ontwikkelaar
NOTE
**Dit is een dringende update met betrekking tot CVE-2024-34102. De Adobe is zich ervan bewust dat CVE-2024-34102 in het wild is uitgebuit in zeer beperkte aanvallen op Adobe Commerce-handelaren.

Op 17 juli 2024 hebben we een hotfix uitgebracht naast de beveiligingsupdate van 11 juni 2024 en/of de geïsoleerde patch die op 28 juni 2024 is uitgebracht.

Gelieve te controleren alle productie en non-production milieu's helpen uw opslag volledig op alle instanties wordt gepatcheerd. Gelieve te nemen directe actie om de kwetsbaarheid op te lossen.

NOTE
voor Adobe Commerce op de handelaren van de Wolk slechts:

1. Zorg ervoor dat u de nieuwste versie van ECE Tools gebruikt. Als u dat niet doet, voert u een upgrade uit (of gaat u verder met item 2). Om uw bestaande versie te controleren, stel dit bevel in werking:composer show magento/ece-tools
2. Controleer of het op-exclude.txt -bestand aanwezig is als de nieuwste versie van ECE Tools al beschikbaar is. Om dit te doen, stel dit bevel in werking:ls op-exclude.txt.Als dit dossier niet aanwezig is, voeg https://github.com/magento/magento-cloud/blob/master/op-exclude.txt aan uw repo toe, dan begaat de verandering en herstelt.
3. U hoeft ECE Tools niet te upgraden, maar u kunt ook gewoon https://github.com/magento/magento-cloud/blob/master/op-exclude.txt toevoegen of wijzigen in uw repo, en vervolgens de wijziging doorvoeren en opnieuw implementeren.

Optie 1 - voor handelaren die niet de veiligheidsupdate van 11 juni, 2024 hebben toegepast, noch de geïsoleerde die flard op 28 juni, 2024 wordt vrijgegeven

  1. Pas hotfix toe die op 17 juli 2024 is uitgebracht.
  2. Pas de beveiligingspatch toe.
  3. Schakel maintenance mode in.
  4. Schakel cron -uitvoering uit (opdracht Commerce op Cloud: vendor/bin/ece-tools cron:disable ).
  5. roteer uw encryption keys.
  6. Maak de cache leeg.
  7. Schakel cron uit (Commerce op Cloud, opdracht: vendor/bin/ece-tools cron:enable ).
  8. Schakel maintenance mode uit.

OF

  1. Breng de geïsoleerde pleister aan. NOTA : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.
  2. Schakel maintenance mode in.
  3. Schakel cron -uitvoering uit (opdracht Commerce op Cloud: vendor/bin/ece-tools cron:disable ).
  4. roteer uw encryption keys.
  5. Maak de cache leeg.
  6. Schakel cron uit (Commerce op Cloud, opdracht: vendor/bin/ece-tools cron:enable ).
  7. Schakel maintenance mode uit.

Optie 2 - voor verkopers die reeds de veiligheidsupdate van 11 Juni, 2024, en/of het geïsoleerde flard hebben toegepast dat op 28 juni, 2024 wordt vrijgegeven

  1. Pas hotfix toe die op 17 juli 2024 is uitgebracht.
  2. Schakel maintenance mode in.
  3. Schakel cron -uitvoering uit (opdracht Commerce op Cloud: vendor/bin/ece-tools cron:disable ).
  4. roteer uw encryption keys.
  5. Maak de cache leeg.
  6. Schakel cron uit (Commerce op Cloud, opdracht: vendor/bin/ece-tools cron:enable ).
  7. Schakel maintenance mode uit.

Optie 3 - voor verkopers die reeds (1) hebben toegepast de veiligheidsupdate van 11 Juni, 2024, en/of (2) de geïsoleerde flard op 28 Juni, 2024, en (3) roteerde uw encryptiesleutels

  • Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.
NOTE
Om u nog veilig na bevordering te verzekeren, moet u uw encryption keys 🔗 ook roteren:

1. Schakel maintenance mode in.
2. Schakel cron -uitvoering uit (opdracht Commerce op Cloud: vendor/bin/ece-tools cron:disable ).
3. Roteer de encryption keys .
4. Schakel cron uit (Commerce op Cloud, opdracht: vendor/bin/ece-tools cron:enable ).
5. Schakel maintenance mode uit.

In dit artikel vindt u hoe u de geïsoleerde patch voor dit probleem kunt implementeren voor de huidige en eerdere versies van Adobe Commerce en Magento Open Source.
NOTA : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.

Betrokken producten en versies

Adobe Commerce on Cloud, Adobe Commerce on-premise en Magento Open Source:

  • 2.4.7-p1 en lager
  • 2.4.6-p6 en eerdere versies
  • 2.4.5-p8 en eerder
  • 2.4.4-p9 en eerder

Oplossing voor Adobe Commerce op Cloud, Adobe Commerce on-premise software en Magento Open Source

Om de kwetsbaarheid voor de betrokken producten en versies te helpen oplossen, moet u de VULN-27015 -patch (afhankelijk van uw versie) toepassen en de encryption keys roteren.

Details hotfix hotfix

Geïsoleerde patchdetails

NOTA : Deze versie van het geïsoleerde flard bevat 17 juli, 2024, hotfix binnen het.

Gebruik de volgende bijgevoegde patches, afhankelijk van uw Adobe Commerce/Magento Open Source-versie:

Voor versie 2.4.7:

Voor versies 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Voor versies 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Voor versies 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

De geïsoleerde patch en de hotfix

Pak het dossier uit en zie hoe te om een componentenflard toe te passen die door Adobein onze basis van steunkennis voor instructies wordt verstrekt.

Alleen voor Adobe Commerce op Cloud-handelaren - Hoe kan ik zien of de geïsoleerde patches zijn aangebracht?

Aangezien het niet mogelijk is om eenvoudig te controleren of de uitgave is gerepareerd, kunt u beter controleren of de VULN-27015 geïsoleerde patch correct is toegepast.

u kunt dit doen door de volgende stappen te nemen, gebruikend het dossier VULN-27015-2.4.7_COMPOSER.patch als voorbeeld :

  1. installeer het Hulpmiddel van de Patches van de Kwaliteit.

  2. Voer de opdracht uit:

    cve-2024-34102-tell-if-patch-applied-code

  3. U zou output gelijkend op dit moeten zien, waar VULN-27015 de Toegepaste status terugkeert:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

De encryption key na het aanbrengen van de patch roteren/wijzigen

Voor begeleiding op hoe te om encryption key na het toepassen van het flard te roteren/te veranderen, gelieve te verwijzen naar Admin systeemgids: Encryption key in de documentatie van de Gids van de Systemen van Commerce Admin.

Aanvullende richtlijnen voor het beveiligen van uw winkel en het roteren van coderingssleutels

Voor extra begeleiding bij het beveiligen van uw opslag en het roteren van encryptiesleutels betreffende CVE-2024-34102, zie Begeleiding bij het beveiligen van uw opslag en het roteren van encryptiesleutels: CVE-2024-34102, ook in de Kennisbank van Adobe Commerce.

Beveiligingsupdates

Beveiligingsupdates beschikbaar voor Adobe Commerce:

Gerelateerde lezing

laat of maak maintenance modein de Gids van de Installatie van Adobe Commerce toe onbruikbaar

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a