Toepassen op AC-3022.patch om DHL als scheepvaartmaatschappij te blijven aanbieden

DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Handelaren die deze releases implementeren, moeten AC-3022.patch zo snel mogelijk toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden. Zie een flard toepassen om DHL als het verschepen artikel van de 1} Kennisbank van de drager voor informatie over het downloaden en het installeren van het flard te blijven aanbieden.

Beveiligingspatch beschikbaar

Merchants kunnen nu tijdgevoelige beveiligingsoplossingen installeren zonder de honderden functionele correcties en verbeteringen toe te passen die een volledige driemaandelijkse release (bijvoorbeeld 2.4.0-p1) biedt. Patch 2.4.0.1 (Composer-pakket 2.4.0-p1) is een beveiligingspatch die oplossingen biedt voor kwetsbaarheden die zijn geïdentificeerd in onze vorige driemaandelijkse release, 2.4.0. Alle hotfixes die op versie 2.4.0 werden toegepast zijn inbegrepen in deze veiligheidspatch. (A hete moeilijke situatie verstrekt een moeilijke situatie aan een vrijgegeven versie die een specifiek probleem of een insect richt.)

Voor algemene informatie over veiligheidspatches, zie Introducerend de Nieuwe Versie van het Patch van de Veiligheid. Voor instructies bij het downloaden en het toepassen van veiligheidspatches (met inbegrip van flard 2.3.5-p2), zie Snelle begin op-gebouw installatie. Beveiligingspatches bevatten alleen oplossingen voor beveiligingsfouten, niet de extra beveiligingsverbeteringen die in de volledige patch zijn opgenomen.

Overige releasegegevens

Hoewel de code voor deze eigenschappen met driemaandelijkse versies wordt gebundeld, worden verscheidene van deze projecten (bijvoorbeeld, B2B, de Bouwer van de Pagina, en de Studio van Progressive Webben Application (PWA)) ook vrijgegeven onafhankelijk. De fixes van de insect voor deze projecten worden gedocumenteerd in de afzonderlijke, project-specifieke versieinformatie die in de documentatie voor elk project beschikbaar is.

Hooglichten

In deze release ziet u de volgende hooglichten.

Belangrijke beveiligingsverbeteringen

Deze release bevat meer dan 15 beveiligingsoplossingen en verbeteringen op het gebied van platformbeveiliging. Alle beveiligingscorrecties zijn teruggezet naar 2.4.0-p1 en 2.3.6.

Meer dan 15 beveiligingsverbeteringen waarmee kwetsbaarheden voor RCE (Remote Code Execution) en XSS (Cross-site scripting) kunnen worden afgesloten

Er zijn tot op heden geen bevestigde aanvallen met betrekking tot deze problemen geweest. Bepaalde kwetsbaarheden kunnen echter potentieel worden benut om toegang te krijgen tot klantgegevens of om beheerderssessies over te nemen. De meeste van deze problemen vereisen dat een aanvaller eerst toegang verkrijgt tot de beheerder. Dientengevolge, herinneren wij u eraan om alle noodzakelijke stappen te nemen om uw Admin, met inbegrip van maar niet beperkt tot deze inspanningen te beschermen: IP voegend op lijst van gewenste personen, bifactorauthentificatie, gebruik van VPN, het gebruik van een unieke plaats eerder dan /admin, en goede wachtwoordhygiëne. Zie Updates van de Veiligheid Beschikbaar voor Magentovoor een bespreking van deze vaste kwesties.

Aanvullende beveiligingsverbeteringen

Beveiligingsverbeteringen voor deze release zijn onder andere:

  • CAPTCHA bescherming is toegevoegd aan de volgende productgebieden:

    • Opslagpagina voor volgorde plaatsen en eindpunten voor REST en GraphQL
    • Betaalgerelateerde REST- en GraphQL-eindpunten.

    De CAPTCHA-beveiliging voor deze extra pagina's is standaard uitgeschakeld. Deze functie kan op dezelfde manier op de beheerder worden ingeschakeld als andere pagina's die door CAPTCHA worden gedekt. Deze bescherming is toegevoegd als een antibrute-krachtmechanisme om winkels te beschermen tegen kaardaanvallen. Zie CAPTCHA.

  • Steun voor het attribuut SameSite voor koekjes. Ter ondersteuning van de Google Chrome-handhaving van het nieuwe cookie-classificatiesysteem zijn de toepassingsklassen die cookies verwerken bijgewerkt ter ondersteuning van het cookie-kenmerk SameSite . Dit kenmerk is standaard ingesteld op Lax , maar kan expliciet worden overschreven.

  • Verbeterde het Scannen van de Veiligheid Hulpmiddel. De Adobe heeft samengewerkt met Veiligheid Sanguine, een leider in het verhinderen van digitaal skimming, om hun gegevensbestand van meer dan 8700 bedreigingshandtekeningen in het Hulpmiddel van het Scannen van de Veiligheid te integreren. Dit partnerschap zal handelaren in staat stellen real-time inzicht te krijgen in de veiligheidsstatus van hun site door middel van proactieve detectie van malware en vermindering van valse positieven. Handelaars kunnen zich registreren voor het gereedschap door naar https://account.magento.com/scanner te gaan. Voor meer informatie, zie Veilig Uw Storefront met de Verbeterde 1} blogpost van het Hulpmiddel van het Scannen van de Veiligheid {.

NOTE
Vanaf de versie 2.3.2 wijzen we geïndexeerde CVE-nummers (Common Vulnerabilities and Exposure) toe aan en publiceren we deze voor elke beveiligingsfout die door externe partijen aan ons wordt gemeld. Hierdoor kunnen gebruikers gemakkelijker niet-verholpen kwetsbaarheden in hun implementatie identificeren. U kunt meer over CVE herkenningstekens bij CVEleren.