Opmerkingen bij de release voor beveiligingspatches van Adobe Commerce 2.4.3
In deze release met beveiligingspatches worden updates vastgelegd om de beveiliging van uw Adobe Commerce-implementatie te verbeteren. De informatie omvat onder meer, maar is niet beperkt tot:
- Oplossingen voor beveiligingsproblemen
- De hoogtepunten van de veiligheid die meer detail over verhogingen en updates inbegrepen in het veiligheidspatch verstrekken
- Bekende problemen
- Instructies voor het aanbrengen van extra pleisters indien nodig
- Informatie over hotfixes die in de release zijn opgenomen
Meer informatie over beveiligingspatchreleases:
- Overzicht van Adobe Commerce Security Patch Release
- De instructies voor het downloaden van en het toepassen van de versies van het veiligheidspatch zijn beschikbaar in de Gids van de Verbetering
Adobe Commerce 2.4.3-p3
Het beveiligingsrelease van Adobe Commerce 2.4.3-p3 biedt beveiligingsoplossingen voor kwetsbaarheden die zijn geïdentificeerd in eerdere versies van 2.4.3. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB22-38 🔗.
Toepassen op AC-3022.patch om DHL als scheepvaartmaatschappij te blijven aanbieden
DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Handelaren die deze releases implementeren, moeten AC-3022.patch zo snel mogelijk toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden. Zie een flard toepassen om DHL als het verschepen dragerartikel van de Kennisbank voor informatie over het downloaden en het installeren van het flard te blijven aanbieden.
Beveiligingsmarkeringen
- ACL de middelen zijn toegevoegd aan de Inventaris.
- De beveiliging van het voorraadsjabloon is verbeterd.
Adobe Commerce 2.4.3-p2
De Adobe Commerce 2.4.3-p2 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB22-13 🔗. De patchrelease verhelpt ook de kwetsbaarheid die MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch en MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch verhelpen.
Toepassen op AC-3022.patch om DHL als scheepvaartmaatschappij te blijven aanbieden
DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Handelaren die deze releases implementeren, moeten AC-3022.patch zo snel mogelijk toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden. Zie een flard toepassen om DHL als het verschepen dragerartikel van de Kennisbank voor informatie over het downloaden en het installeren van het flard te blijven aanbieden.
Beveiligingsmarkeringen
-
Het gebruik van e-mailvariabelen is in 2.3.4 afgekeurd als onderdeel van een beperking van het beveiligingsrisico ten gunste van een striktere variabele syntaxis. Dit verouderde gedrag is volledig verwijderd in deze versie als voortzetting van die beperking van het veiligheidsrisico.
Sjablonen voor e-mail- of nieuwsbrieven die in eerdere versies hebben gewerkt, werken dus mogelijk niet correct na de upgrade naar Adobe Commerce 2.4.3-p2. Betrokken sjablonen zijn onder andere overschrijvingen van beheer, thema's, onderliggende thema's en sjablonen van aangepaste modules of uitbreidingen van derden. Uw plaatsing kan nog worden beïnvloed zelfs na het gebruiken van het verenigbaarheidshulpmiddel van de Verbeteringom verouderde gebruik te bevestigen. Zie het Migreren van douane e-mailmalplaatjesvoor informatie over potentiële gevolgen en richtlijnen voor het migreren van beïnvloede malplaatjes.
-
De tokens van de de toegangstoegang en van het wachtwoord terugstellen worden nu gecodeerd wanneer opgeslagen in het gegevensbestand.
-
Validatie is versterkt om het uploaden van niet-alfanumerieke bestandsextensies te voorkomen.
-
De wagen is nu standaard uitgeschakeld wanneer Adobe Commerce in de productiemodus staat.
-
De ontwikkelaars kunnen de groottegrens voor series nu vormen die door Adobe Commerce RESTful eindpunten op een per-eindpuntbasis worden goedgekeurd. Zie API veiligheid.
-
Toegevoegde mechanismen voor het beperken van de grootte en het aantal bronnen dat een gebruiker via een web-API op systeembrede basis kan aanvragen, en voor het overschrijven van de standaardinstellingen voor afzonderlijke modules. Deze verbetering verhelpt het probleem dat wordt opgelost door
MC-43048__set_rate_limits__2.4.3.patch. Zie API veiligheid.
2.4.3-p1
De Adobe Commerce 2.4.3-p1-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die zijn geïdentificeerd in de vorige release (Adobe Commerce 2.4.3 en Magento Open Source 2.4.3). Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB21-86 🔗. De flardversie verstrekt ook insectenmoeilijke situaties voor de Braintree, Klarna, en Vertexleverancier-ontwikkelde uitbreidingen.
Toepassen op AC-3022.patch om DHL als scheepvaartmaatschappij te blijven aanbieden
DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Handelaren die deze releases implementeren, moeten AC-3022.patch zo snel mogelijk toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden. Zie een flard toepassen om DHL als het verschepen dragerartikel van de Kennisbank voor informatie over het downloaden en het installeren van het flard te blijven aanbieden.
Hotfixes
Deze release bevat de volgende hotfix en alle hotfixes die zijn vrijgegeven voor de vorige patchrelease.
- Reparatie
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Zie de verbetering 2.4.3 van Adobe Commerce, 2.3.7-p1 PHP Snelle fout Hotfixhet artikel van de Kennisbank voor informatie over zowel flard als kwestie.
Beveiligingsmarkeringen
Identiteitskaart van de Zitting is verwijderd uit het gegevensbestand. Deze codeverandering kan in het breken van veranderingen resulteren als de verkopers aanpassingen of geïnstalleerde uitbreidingen hebben die onbewerkte zitting IDs gebruiken die in het gegevensbestand worden opgeslagen.
Beperkte admin toegang tot de omslagen van de Galerij van Media. De standaardbevoegdheden van de Medialerie staan nu alleen directorybewerkingen toe (weergeven, uploaden, verwijderen en maken) die expliciet zijn toegestaan door de configuratie. Admin-gebruikers hebben geen toegang meer tot media-elementen via de medialerie die buiten de mappen catalog/category of wysiwyg zijn geüpload. Beheerders die toegang willen krijgen tot media-elementen, moeten deze naar een expliciet toegestane map verplaatsen of hun configuratie-instellingen aanpassen. Zie de omslagtoestemmingen van Media Library wijzigen.
Verlaagde grenzen aan de vraagingewikkeldheid van GraphQL. De GraphQL maximum toegestane vraagingewikkeldheid is verminderd om ontkenning-van-Dienst (DOS) aanvallen te verhinderen. Zie de veiligheidsconfiguratie van GraphQL.
de Recente kwetsbaarheid van de penetratietest is bevestigd in deze versie.
De niet-ondersteunde bronexpressie unsafe-inline is verwijderd uit de aanwijzing Content Security Policy frame-ancestors . GitHub-33101