Opmerkingen bij de release voor beveiligingspatches van Adobe Commerce 2.4.4
In deze release met beveiligingspatches worden updates vastgelegd om de beveiliging van uw Adobe Commerce-implementatie te verbeteren. De informatie omvat onder meer, maar is niet beperkt tot:
- Oplossingen voor beveiligingsproblemen
- De hoogtepunten van de veiligheid die meer detail over verhogingen en updates inbegrepen in het veiligheidspatch verstrekken
- Bekende problemen
- Instructies voor het aanbrengen van extra pleisters indien nodig
- Informatie over hotfixes die in de release zijn opgenomen
Meer informatie over beveiligingspatchreleases:
- Overzicht van Adobe Commerce Security Patch Release
- De instructies voor het downloaden van en het toepassen van de versies van het veiligheidspatch zijn beschikbaar in de Gids van de Verbetering
2.4.4-p10
De Adobe Commerce 2.4.4-p10-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die zijn geïdentificeerd in eerdere versies van 2.4.4.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-61 🔗.
Hooglichten
Deze release bevat de volgende hooglichten:
-
snelheidsbeperking voorone-time passwords - De volgende nieuwe opties van de systeemconfiguratie zijn nu beschikbaar om tarief toe te laten beperkt op two-factor authentication (2FA) one-time password (OTP) bevestiging:
- probeert opnieuw pooggrens voor two-Factor Authentificatie
- two-FactorAuthentificatie lockout tijd (seconden)
De Adobe adviseert het plaatsen van een drempel voor bevestiging 2FA OTP om het aantal pogingen te beperken om brute-krachtaanvallen te verlichten. Zie Veiligheid > 2FAin de Gids van de Verwijzing van de Configuratie voor meer informatie.
-
de zeer belangrijke omwenteling van de Encryptie - een nieuw CLI bevel is nu beschikbaar voor het veranderen van uw encryptiesleutel. Zie de Zeer belangrijke Omwenteling van de Encryptie van het Oplossen van problemen: CVE-2024-34102artikel van de Kennisbank voor details.
-
Repareren voor CVE-2020-27511- lost a Prototype.js veiligheidskwetsbaarheid op.
-
Repareren voor CVE-2024-39397- lost een kwetsbaarheid van de de veiligheidsveiligheid van de verre codeuitvoering op. Deze kwetsbaarheid is van invloed op verkopers die de Apache-webserver gebruiken voor onbedrijfsmatige of zelfgehoste implementaties. Deze oplossing is ook beschikbaar als een geïsoleerde pleister. Zie de update van de Veiligheid beschikbaar voor Adobe Commerce - APSB24-61artikel van de Kennisbank voor details.
Hotfixes die in deze release zijn opgenomen
Deze release bevat de volgende hotfixes:
-
Hotfix om een fout van JavaScript op te lossen die de Kaarten van Google verhinderde behoorlijk in de redacteur PageBuilder terug te geven. Zie de Herziene flarden voor de toegangsverlies van Kaarten van Google op alle versies van Adobe Commercehet artikel van de Kennisbank voor details.
-
Hotfix om een JSON web token (JWT) valideringsprobleem met betrekking tot CVE-2024-34102 op te lossen. Zie de update van de Veiligheid beschikbaar voor Adobe Commerce-APSB24-40Artikel van de Kennisbank voor details.
2.4.4-p9
De Adobe Commerce 2.4.4-p9 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies van 2.4.4 zijn geïdentificeerd.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-40 🔗.
Hotfix toepassen voor CVE-2024-34102
voor klanten die geen veiligheidspatch hebben toegepast die op 11 juni, 2024 of het geïsoleerde flard op 28 juni, 2024 werd vrijgegeven:
Optie 1:
Optie 2:
-
Pas het geïsoleerde flardtoe.
-
roteerencryptiesleutels.
voor klanten die reeds een veiligheidspatch hebben toegepast die op 11 juni, 2024 of het geïsoleerde flard op 28 juni, 2024 wordt vrijgegeven:
voor klanten die reeds 1) een veiligheidspatch hebben toegepast die op 11 juni, 2024 of, 2) wordt vrijgegeven het geïsoleerde flard op 28 juni, 2024, en 3) hun encryptiesleutels geroteerd:
- Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.
Platformupgrades
- MariaDB 10.5 steun. Deze patchrelease introduceert compatibiliteit met MariaDB versie 10.5. Adobe Commerce is nog steeds compatibel met MariaDB-versie 10.4, maar de Adobe raadt u aan Adobe Commerce 2.4.4-p9 te gebruiken en alle aanstaande patchversies met alleen beveiliging van versie 2.4.4 alleen met MariaDB-versie 10.5, omdat het onderhoud van MariaDB 10.4 eindigt op 18 juni 2024.
Hooglichten
-
toegevoegde Steun van de Integriteit Subresource (SRI) om aan PCI 4.0 vereisten voor controle van manuscriptintegriteit op betalingspagina's te voldoen. De ondersteuning van Subresource Integrity (SRI) biedt integriteitshashes voor alle JavaScript-elementen die zich in het lokale bestandssysteem bevinden. De standaardSRI eigenschap wordt uitgevoerd slechts op de betalingspagina's voor Admin en storefront gebieden. Handelaars kunnen de standaardconfiguratie echter uitbreiden naar andere pagina's. Zie Integriteit Subresourcein de Gids van de Ontwikkelaar van Commerce PHP.
-
Veranderingen in het Beleid van de Veiligheid van de Inhoud (CSP) - de updates en de verhogingen van de Configuratie aan het Beleid van de Veiligheid van de Veiligheid van de Inhoud van Adobe Commerce (CSPs) om aan PCI 4.0 vereisten te voldoen. Voor details, zie Beleid van de Veiligheid van de Inhoudin de Gids van de Ontwikkelaar van Commerce PHP.
-
De standaard CSP-configuratie voor betalingspagina's voor Commerce Admin- en storefront-gebieden is nu
restrict
-modus. Voor alle andere pagina's is de standaardconfiguratie de modusreport-only
. In versies vóór 2.4.7, werd CSP gevormd opreport-only
wijze voor alle pagina's. -
Een Nonce-provider toegevoegd om uitvoering van inline scripts in een CSP toe te staan. De nonce-provider vereenvoudigt het genereren van unieke nonce-tekenreeksen voor elke aanvraag. De tekenreeksen worden vervolgens aan de CSP-header gekoppeld.
-
Toegevoegde opties voor het configureren van aangepaste URI's voor het rapporteren van CSP-overtredingen voor de pagina Volgorde maken in Beheer en de pagina Uitchecken in de winkel. U kunt de configuratie toevoegen vanuit de beheerfunctie of door de URI toe te voegen aan het
config.xml
-bestand.note note NOTE Als u de CSP-configuratie bijwerkt naar de modus restrict
, kunnen bestaande inlinescripts op betaalpagina's in de beheerdersinterface en de opslagront worden geblokkeerd. Dit leidt tot de volgende browserfout wanneer een pagina wordt geladen:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Verbeter deze fouten door de whitelistconfiguratie bij te werken om vereiste manuscripten toe te staan. Zie het Oplossen van problemenin de Gids van de Ontwikkelaar van Commerce PHP.
-
2.4.4-p8
De Adobe Commerce 2.4.4-p8-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor uw Adobe Commerce 2.4.4-implementatie. Deze updates verhelpen kwetsbaarheden die zijn geïdentificeerd in vorige releases.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-18 🔗.
2.4.4-p7
De Adobe Commerce 2.4.4-p7 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-03 🔗.
Hooglichten
Deze release introduceert twee belangrijke beveiligingsverbeteringen:
-
Veranderingen in het gedrag van niet-geproduceerde geheim voorgeheugensleutels:
- Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van sjablooninstructies of de methoden
setCacheKey
ofsetData
.) - Niet-gegenereerde cachesleutels voor blokken mogen nu alleen letters, cijfers, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten.
- Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van sjablooninstructies of de methoden
-
Beperkingen op het aantal auto-geproduceerde couponcodes. Commerce beperkt nu het aantal couponcodes dat automatisch wordt gegenereerd. Het standaardmaximum is 250.000. Handelaars kunnen de nieuwe Code Quantity Limit configuratieoptie (Stores > Settings:Configuration > Customers > Promotions) gebruiken om deze nieuwe grens te bepalen.
2.4.4-p6
De Adobe Commerce 2.4.4-p6-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-50 🔗.
Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.
Hooglichten
Deze versie introduceert een nieuwe instelling voor de configuratie van het volledige paginacachegeheugen die helpt de risico's te beperken die aan het {BASE-URL}/page_cache/block/esi HTTP
-eindpunt zijn gekoppeld. Dit eindpunt steunt onbeperkte, dynamisch geladen inhoudsfragmenten van de lay-outhandvatten van Commerce en blokstructuren. Met de nieuwe configuratie-instelling Handles Param wordt de waarde van de parameter handles
van dit eindpunt ingesteld, die het maximaal toegestane aantal handgrepen per API bepaalt. De standaardwaarde van deze eigenschap is 100. Handelaars kunnen deze waarde wijzigen via Beheer (Stores > Settings: Configuration > System > Full Page Cache > Handles Param ).
Bekende problemen
Uitgave: Adobe Commerce toont a verkeerde controlesom fout tijdens download door Composer van repo.magento.com
, en de pakketdownload wordt onderbroken. Dit probleem kan optreden tijdens het downloaden van releasepakketten die tijdens de evaluatieversie beschikbaar zijn gemaakt en die worden veroorzaakt door een herverpakking van het magento/module-page-cache
-pakket.
Oplossing: De handelaren die deze fout tijdens download zien kunnen deze stappen nemen:
- Verwijder de map
/vendor
in het project, als die bestaat. - Voer de opdracht
bin/magento composer update magento/module-page-cache
uit. Met deze opdracht wordt alleen hetpage cache
-pakket bijgewerkt.
Als het probleem met de controlesom aanhoudt, verwijdert u het bestand composer.lock
voordat u de opdracht bin/magento composer update
opnieuw uitvoert om elk pakket bij te werken.
2.4.4-p5
De Adobe Commerce 2.4.4-p5-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-42 🔗.
Hotfix toepassen voor CVE-2022-31160
jQuery-UI
versie 1.13.1 van de bibliotheek heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die van invloed is op meerdere versies van Adobe Commerce en Magento Open Source. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die beïnvloede plaatsingen in werking stellen zouden de flard moeten toepassen die in de wordt gespecificeerd jQuery UI veiligheidskwetsbaarheid CVE-2022-31160 moeilijke situatie voor 2.4.4, 2.4.5, en 2.4.6 versieshet artikel van de Kennisbank.
2.4.4-p4
De Adobe Commerce 2.4.4-p4 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsupdates en platformupgrades om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-35 🔗.
Hotfix toepassen voor CVE-2022-31160
jQuery-UI
versie 1.13.1 van de bibliotheek heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die van invloed is op meerdere versies van Adobe Commerce en Magento Open Source. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die beïnvloede plaatsingen in werking stellen zouden de flard moeten toepassen die in de wordt gespecificeerd jQuery UI veiligheidskwetsbaarheid CVE-2022-31160 moeilijke situatie voor 2.4.4, 2.4.5, en 2.4.6 versieshet artikel van de Kennisbank.
Hooglichten
Het standaardgedrag van de isEmailAvailable
vraag van GraphQL en (V1/customers/isEmailAvailable
) REST eindpunt is veranderd. De API retourneert nu standaard altijd true
. Merchants kunnen het oorspronkelijke gedrag inschakelen, dat wil zeggen dat true
wordt geretourneerd als het e-mailbericht niet in de database bestaat en false
als het wel bestaat.
Platformupgrades
Platformupgrades voor deze release verbeteren de naleving van de nieuwste best practices op het gebied van beveiliging.
-
Varnish geheime voorgeheugen 7.3 steun. Deze release is compatibel met de nieuwste versie van Varnish Cache 7.3. De compatibiliteit blijft behouden met de 6.0.x- en 7u.2.x-versies, maar de Adobe raadt aan Adobe Commerce 2.4.4-p4 alleen te gebruiken met Varnish Cache versie 7.3 of versie 6.0 LTS.
-
RabbitMQ 3.11 steun. Deze release is compatibel met de nieuwste versie van RabbitMQ 3.11. De compatibiliteit blijft behouden met RabbitMQ 3.9, dat tot augustus 2023 wordt ondersteund, maar Adobe beveelt aan om Adobe Commerce 2.4.4-p4 alleen te gebruiken met RabbitMQ 3.11.
-
bibliotheken van JavaScript. Verouderde JavaScript-bibliotheken zijn bijgewerkt naar de nieuwste secundaire versies of patchversies, waaronder
moment.js
library (v2.29.4),jQuery UI
library (v1.13.2) enjQuery
validatie-insteekbibliotheek (v1.19.5).
2.4.4-p3
De Adobe Commerce 2.4.4-p3 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-17 🔗.
2.4.4-p2
De Adobe Commerce 2.4.4-p2-beveiligingsrelease biedt oplossingen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Één moeilijke situatie omvat de verwezenlijking van een nieuwe configuratie het plaatsen. vereist e-mailbevestiging als e-mail configuratie het plaatsen is veranderd laat beheerders e-mailbevestiging vereisen wanneer een admin gebruiker hun e-mailadres verandert.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB22-48 🔗.
AC-3022.patch toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden
DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Handelaren die deze releases implementeren, moeten AC-3022.patch
zo snel mogelijk toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden. Zie een flard toepassen om DHL als het verschepen dragerartikel van de Kennisbank voor informatie over het downloaden en het installeren van het flard te blijven aanbieden.
2.4.4-p1
De Adobe Commerce 2.4.4-p1-beveiligingsrelease biedt oplossingen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.
Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe 1}.t🔗
Toepassen op AC-3022.patch
om DHL als scheepvaartmaatschappij te blijven aanbieden
DHL heeft schemaversie 6.2 geïntroduceerd en zal schemaversie 6.0 in de nabije toekomst verwerpen. Adobe Commerce 2.4.4 en eerdere versies die de integratie van DHL steunen slechts versie 6.0. Handelaren die deze releases implementeren, moeten AC-3022.patch
zo snel mogelijk toepassen om DHL als scheepvaartmaatschappij te blijven aanbieden. Zie een flard toepassen om DHL als het verschepen dragerartikel van de Kennisbank voor informatie over het downloaden en het installeren van het flard te blijven aanbieden.
Hooglichten
De verbeteringen van de veiligheid voor deze versie verbeteren naleving van recentste veiligheids beste praktijken, die omvatten:
- ACL de middelen zijn toegevoegd aan de Inventaris.
- De beveiliging van het voorraadsjabloon is verbeterd.
Bekende problemen
Uitgave: Web API en integratietests tonen deze fout wanneer looppas op het 2.4.4-p1 pakket: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69
. Oplossing: Installeer de vorige versie van Monolog door het require monolog/monolog:2.6.0
bevel in werking te stellen.
Uitgave: De handelaren kunnen berichten van de de versiedaling van de pakketversie tijdens een verbetering van Adobe Commerce 2.4.4 aan Adobe Commerce 2.4.4-p1 opmerken. Deze berichten kunnen worden genegeerd. De discrepantie in pakketversies is het gevolg van anomalieën tijdens het genereren van pakketten. Dit heeft geen invloed op de productfunctionaliteit. Zie de Pakketten die na bevordering van 2.4.4 aan 2.4.4-p1artikel van de Kennisbank voor een bespreking van beïnvloede scenario's en alternerende actie worden gedowngraded.