Opmerkingen bij de release voor beveiligingspatches van Adobe Commerce 2.4.4

In deze release met beveiligingspatches worden updates vastgelegd om de beveiliging van uw Adobe Commerce-implementatie te verbeteren. De informatie omvat onder meer, maar is niet beperkt tot:

  • Oplossingen voor beveiligingsproblemen
  • De hoogtepunten van de veiligheid die meer detail over verhogingen en updates inbegrepen in het veiligheidspatch verstrekken
  • Bekende problemen
  • Instructies voor het aanbrengen van extra pleisters indien nodig
  • Informatie over hotfixes die in de release zijn opgenomen

Meer informatie over beveiligingspatchreleases:

Adobe Commerce 2.4.4-p9

De Adobe Commerce 2.4.4-p9 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies van 2.4.4 zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB24-40 Adobe.

Platformupgrades

  • Ondersteuning voor MariaDB 10.5. Deze patchrelease introduceert compatibiliteit met MariaDB versie 10.5. Adobe Commerce is nog steeds compatibel met MariaDB-versie 10.4, maar de Adobe raadt u aan Adobe Commerce 2.4.4-p9 te gebruiken en alle aanstaande patchreleases (alleen voor de beveiliging van 2.4.4) alleen met MariaDB-versie 10.5, omdat het onderhoud van MariaDB 10.4 eindigt op 18 juni 2024.

Aanvullende beveiligingsverbeteringen

Er zijn tot op heden geen bevestigde aanvallen met betrekking tot deze problemen geweest. Bepaalde kwetsbaarheden kunnen echter potentieel worden benut om toegang te krijgen tot klantgegevens of om beheerderssessies over te nemen. De meeste van deze problemen vereisen dat een aanvaller eerst toegang verkrijgt tot de beheerder. Daarom herinneren we u eraan alle noodzakelijke stappen te nemen om uw beheerder te beschermen, inclusief, maar niet beperkt tot:

  • IP-voegende op lijst van gewenste personen
  • Twee-factor authentificatie
  • Gebruik van VPN
  • Gebruik van een unieke locatie in plaats van /admin
  • Goede wachtwoordhygiëne

De verbeteringen van de veiligheid voor deze versie verbeteren naleving van de recentste beste praktijken van de veiligheid.

  • Wijzigingen in het gedrag van niet-gegenereerde cachesleutels:

    • Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van de sjablooninstructie of de setCacheKey of setData methoden.)
    • Niet-gegenereerde cachesleutels voor blokken mogen nu alleen letters, cijfers, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten.
  • Beperkingen op het aantal automatisch gegenereerde couponcodes. Commerce beperkt nu het aantal couponcodes dat automatisch wordt gegenereerd. Het standaardmaximum is 250.000. Handelaren kunnen de nieuwe Code Quantity Limit configuratieoptie (Stores > Settings:Configuration > Customers > Promotions) om te voorkomen dat het systeem met veel coupons wordt overweldigd.

  • Optimalisatie van het standaard URL-generatieproces van Admin. Het genereren van de standaard Admin URL is geoptimaliseerd voor meer willekeur, waardoor gegenereerde URL's minder voorspelbaar worden.

  • Extra ondersteuning voor Integriteit subresource (SRI) voldoen aan de vereisten van PCI 4.0 voor de verificatie van scriptintegriteit op betaalpagina's. De ondersteuning van Subresource Integrity (SRI) biedt integriteitshashes voor alle JavaScript-elementen die zich in het lokale bestandssysteem bevinden. De standaardSRI eigenschap wordt uitgevoerd slechts op de betalingspagina's voor Admin en storefront gebieden. Handelaars kunnen de standaardconfiguratie echter uitbreiden naar andere pagina's. Zie Integriteit subresource in de Commerce PHP Developer Guide.

  • Wijzigingen in inhoudsbeveiligingsbeleid (CSP)—De updates van de configuratie en verhogingen van het Beleid van de Veiligheid van de Inhoud van Adobe Commerce (CSPs) om aan PCI 4.0 vereisten te voldoen. Zie voor meer informatie Beveiligingsbeleid voor inhoud in de Commerce PHP Developer Guide.

    • De standaard CSP-configuratie voor betalingspagina's voor Commerce Admin- en storefrongebieden is nu restrict -modus. Voor alle andere pagina's is de standaardconfiguratie report-only -modus. In versies voorafgaand aan 2.4.7, werd CSP gevormd binnen report-only voor alle pagina's.

    • Een Nonce-provider toegevoegd om uitvoering van inline scripts in een CSP toe te staan. De nonce-provider vereenvoudigt het genereren van unieke nonce-tekenreeksen voor elke aanvraag. De tekenreeksen worden vervolgens aan de CSP-header gekoppeld.

    • Toegevoegde opties voor het configureren van aangepaste URI's voor het rapporteren van CSP-overtredingen voor de pagina Volgorde maken in Beheer en de pagina Uitchecken in de winkel. U kunt de configuratie toevoegen vanuit de beheerdersinterface of door de URI toe te voegen aan de config.xml bestand.

      note note
      NOTE
      De CSP-configuratie bijwerken naar restrict De modus kan bestaande inlinescripts op betaalpagina's in Admin en storefront blokkeren, wat de volgende browserfout veroorzaakt wanneer een pagina wordt geladen: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Verbeter deze fouten door de whitelistconfiguratie bij te werken om vereiste manuscripten toe te staan. Zie Problemen oplossen in de Commerce PHP Developer Guide.
  • Een nieuwe instelling voor de configuratie van de cache van volledige pagina's kan de risico's beperken die aan HTTP zijn gekoppeld {BASE-URL}/page_cache/block/esi eindpunt. Dit eindpunt steunt onbeperkte, dynamisch geladen inhoudsfragmenten van de de lay-outhandvatten van de Handel en blokstructuren. De nieuwe Handles params size configuratie het plaatsen plaatst de waarde van dit eindpunt handles parameter, die het maximaal toegestane aantal handgrepen per API bepaalt. De standaardwaarde van deze eigenschap is 100. Handelaren kunnen deze waarde wijzigen via de beheerfunctie (Stores > Settings:Configuration > System > Full Page Cache > Handles params size). Zie De Commerce-toepassing configureren voor het gebruik van Varnish.

  • Native tariefbeperking voor via REST en GraphQL API's verzonden betalingsinformatie. Handelaren kunnen nu snelheidsbeperking configureren voor de betalingsgegevens die via REST en GraphQL worden verstrekt. Deze extra laag van bescherming steunt preventie van het behandelen van aanvallen en vermindert potentieel het volume van het behandelen aanvallen die vele creditcardaantallen in één keer testen. Dit is een verandering in het standaardgedrag van een bestaand REST eindpunt. Zie Snelheidbeperking.

  • Het standaardgedrag van de isEmailAvailable GraphQL-query en de (V1/customer/isEmailAvailable) Het REST-eindpunt is gewijzigd. Standaard retourneren de API's nu altijd true. Handelaren kunnen het oorspronkelijke gedrag inschakelen door het instellen van de Aanmelden voor uitchecken van gasten inschakelen in de beheerdersruimte yes, maar als u dit doet, kunnen de klantgegevens beschikbaar worden gemaakt voor niet-geverifieerde gebruikers.

2.4.4-p8

De Adobe Commerce 2.4.4-p8-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor uw Adobe Commerce 2.4.4-implementatie. Deze updates verhelpen kwetsbaarheden die zijn geïdentificeerd in vorige releases.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB24-18 van de Adobe.

2.4.4-p7

De Adobe Commerce 2.4.4-p7 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB24-03 van de Adobe.

Beveiligingsmarkeringen

Deze release introduceert twee belangrijke beveiligingsverbeteringen:

  • Wijzigingen in het gedrag van niet-gegenereerde cachesleutels:

    • Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van de sjablooninstructie of de setCacheKey of setData methoden.)
    • Niet-gegenereerde cachesleutels voor blokken mogen nu alleen letters, cijfers, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten.
  • Beperkingen op het aantal automatisch gegenereerde couponcodes. Commerce beperkt nu het aantal couponcodes dat automatisch wordt gegenereerd. Het standaardmaximum is 250.000. Handelaren kunnen de nieuwe Code Quantity Limit configuratieoptie (Stores > Settings:Configuration > Customers > Promotions) om deze nieuwe limiet in te stellen.

2.4.4-p6

De Adobe Commerce 2.4.4-p6-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-50 van de Adobe.

Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.

Beveiligingsmarkering

Deze versie introduceert een nieuwe instelling voor de volledige paginacacheconfiguratie die helpt de risico's te beperken die aan de {BASE-URL}/page_cache/block/esi HTTP eindpunt. Dit eindpunt steunt onbeperkte, dynamisch geladen inhoudsfragmenten van de de lay-outhandvatten van de Handel en blokstructuren. De nieuwe Handles Param configuratie het plaatsen plaatst de waarde van dit eindpunt handles parameter, die het maximaal toegestane aantal handgrepen per API bepaalt. De standaardwaarde van deze eigenschap is 100. Handelaren kunnen deze waarde wijzigen via de beheerfunctie (Stores > Settings: Configuration > System > Full Page Cache > Handles Param).

Bekend probleem

Probleem: Adobe Commerce geeft een verkeerde controlesom fout tijdens downloaden door Composer van repo.magento.comen wordt het downloaden van het pakket onderbroken. Dit probleem kan optreden tijdens het downloaden van releasepakketten die tijdens de prerelease beschikbaar zijn gesteld en die worden veroorzaakt door een herverpakking van de magento/module-page-cache pakket.

Workaround: Merchants die deze fout tijdens het downloaden zien, kunnen de volgende stappen uitvoeren:

  1. Verwijder de /vendor directory binnen het project, als er een bestaat.
  2. Voer de bin/magento composer update magento/module-page-cache gebruiken. Met deze opdracht werkt u alleen de page cache pakket.

Als het probleem met de controlesom zich blijft voordoen, verwijdert u het gereedschap composer.lock bestand voordat het opnieuw wordt uitgevoerd bin/magento composer update gebruiken om elk pakket bij te werken.

2.4.4-p5

De Adobe Commerce 2.4.4-p5-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-42 van de Adobe.

patch toepassen om beveiligingskwetsbaarheid CVE-2022-31160 te verhelpen in jQuery-UI-bibliotheek

jQuery-UI Bibliotheekversie 1.13.1 heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die meerdere versies van Adobe Commerce en Magento Open Source beïnvloedt. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die betrokken implementaties uitvoeren, moeten de patch toepassen die in de jQuery UI-beveiligingskwetsbaarheid CVE-2022-31160-oplossing voor 2.4.4-, 2.4.5- en 2.4.6-releases Kennisbank, artikel.

2.4.4-p4

De Adobe Commerce 2.4.4-p4 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsupdates en platformupgrades om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-35 van de Adobe.

patch toepassen om beveiligingskwetsbaarheid CVE-2022-31160 te verhelpen in jQuery-UI-bibliotheek

jQuery-UI Bibliotheekversie 1.13.1 heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die meerdere versies van Adobe Commerce en Magento Open Source beïnvloedt. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die betrokken implementaties uitvoeren, moeten de patch toepassen die in de jQuery UI-beveiligingskwetsbaarheid CVE-2022-31160-oplossing voor 2.4.4-, 2.4.5- en 2.4.6-releases Kennisbank, artikel.

Beveiligingsmarkering

Het standaardgedrag van de isEmailAvailable GraphQL-query en (V1/customers/isEmailAvailable) Het REST-eindpunt is gewijzigd. De API retourneert nu standaard altijd true. Handelaren kunnen het oorspronkelijke gedrag inschakelen, dat wil zeggen terugsturen true als de e-mail niet bestaat in de database en false als het bestaat.

Platformupgrades

Platformupgrades voor deze release verbeteren de naleving van de nieuwste best practices op het gebied van beveiliging.

  • Varnish cache 7.3-ondersteuning. Deze release is compatibel met de nieuwste versie van Varnish Cache 7.3. De compatibiliteit blijft behouden met de 6.0.x- en 7u.2.x-versies, maar de Adobe raadt aan Adobe Commerce 2.4.4-p4 alleen te gebruiken met Varnish Cache versie 7.3 of versie 6.0 LTS.

  • RabbitMQ 3.11-ondersteuning. Deze release is compatibel met de nieuwste versie van RabbitMQ 3.11. De compatibiliteit blijft behouden met RabbitMQ 3.9, dat tot augustus 2023 wordt ondersteund, maar Adobe beveelt aan om Adobe Commerce 2.4.4-p4 alleen te gebruiken met RabbitMQ 3.11.

  • JavaScript-bibliotheken. Verouderde JavaScript-bibliotheken zijn bijgewerkt naar de nieuwste kleine versies of patchversies, waaronder moment.js bibliotheek (v2.29.4), jQuery UI bibliotheek (v1.13.2), en jQuery validatie-insteekbibliotheek (v1.19.5).

2.4.4-p3

De Adobe Commerce 2.4.4-p3 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-17 van de Adobe.

2.4.4-p2

De Adobe Commerce 2.4.4-p2-beveiligingsrelease biedt oplossingen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Één moeilijke situatie omvat de verwezenlijking van een nieuwe configuratie het plaatsen. De E-mailbevestiging vereisen als e-mail is gewijzigd Met configuratie-instelling kunnen beheerders een e-mailbevestiging vereisen wanneer een beheerder zijn e-mailadres wijzigt.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB22-48 Adobe.

AC-3022.patch toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden

DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Merchants die deze versies opstellen zouden moeten toepassen AC-3022.patch zo snel mogelijk DHL als scheepvaartmaatschappij aan te bieden. Zie de Een patch toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden Het artikel van de Kennisbank voor informatie over het downloaden en het installeren van de flard.

2.4.4-p1

De Adobe Commerce 2.4.4-p1-beveiligingsrelease biedt oplossingen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin Adobe.t

Toepassen AC-3022.patch DHL blijft aanbieden als scheepvaartmaatschappij

DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Merchants die deze versies opstellen zouden moeten toepassen AC-3022.patch zo snel mogelijk DHL als scheepvaartmaatschappij aan te bieden. Zie de Een patch toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden Het artikel van de Kennisbank voor informatie over het downloaden en het installeren van de flard.

Beveiligingsmarkeringen

De verbeteringen van de veiligheid voor deze versie verbeteren naleving van recentste veiligheids beste praktijken, die omvatten:

  • ACL de middelen zijn toegevoegd aan de Inventaris.
  • De beveiliging van het voorraadsjabloon is verbeterd.

Bekende problemen

Probleem: Web API- en integratietests tonen deze fout wanneer deze wordt uitgevoerd op het 2.4.4-p1-pakket: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69. Workaround: Installeer de vorige versie van Monolog door het dialoogvenster require monolog/monolog:2.6.0 gebruiken.

Probleem: Merchants kunnen berichten over de downgradeprocedure voor de pakketversie opmerken tijdens een upgrade van Adobe Commerce 2.4.4 naar Adobe Commerce 2.4.4-p1. Deze berichten kunnen worden genegeerd. De discrepantie in pakketversies is het gevolg van anomalieën tijdens het genereren van pakketten. Dit heeft geen invloed op de productfunctionaliteit. Zie de Pakketten die na een upgrade zijn gedowngraded van 2.4.4 naar 2.4.4-p1 Het artikel van de Kennisbank voor een bespreking van beïnvloede scenario's en alternerende actie.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f