Opmerkingen bij de release voor Adobe Commerce 2.4.5-beveiligingspatches

In deze release met beveiligingspatches worden updates vastgelegd om de beveiliging van uw Adobe Commerce-implementatie te verbeteren. De informatie omvat onder meer, maar is niet beperkt tot:

  • Oplossingen voor beveiligingsproblemen
  • De hoogtepunten van de veiligheid die meer detail over verhogingen en updates inbegrepen in het veiligheidspatch verstrekken
  • Bekende problemen
  • Instructies voor het aanbrengen van extra pleisters indien nodig
  • Informatie over hotfixes die in de release zijn opgenomen

Meer informatie over beveiligingspatchreleases:

Adobe Commerce 2.4.5-p7

De Adobe Commerce 2.4.5-p7 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB24-18 van de Adobe.

Adobe Commerce 2.4.5-p6

De Adobe Commerce 2.4.5-p6-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB24-03 van de Adobe.

Beveiligingsmarkeringen

Deze release introduceert twee belangrijke beveiligingsverbeteringen:

  • Wijzigingen in het gedrag van niet-gegenereerde cachesleutels:

    • Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van de sjablooninstructie of de setCacheKey of setData methoden.)
    • Niet-gegenereerde cachesleutels voor blokken mogen nu alleen letters, cijfers, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten.
  • Beperkingen op het aantal automatisch gegenereerde couponcodes. Commerce beperkt nu het aantal couponcodes dat automatisch wordt gegenereerd. Het standaardmaximum is 250.000. Handelaren kunnen de nieuwe Code Quantity Limit configuratieoptie (Stores > Settings:Configuration > Customers > Promotions) om deze nieuwe limiet in te stellen.

Adobe Commerce 2.4.5-p5

De Adobe Commerce 2.4.5-p5-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-50 van de Adobe.

Beveiligingsmarkering

Deze versie introduceert een nieuwe instelling voor de volledige paginacacheconfiguratie die helpt de risico's te beperken die aan de {BASE-URL}/page_cache/block/esi HTTP eindpunt. Dit eindpunt steunt onbeperkte, dynamisch geladen inhoudsfragmenten van de de lay-outhandvatten van de Handel en blokstructuren. De nieuwe Handles Param configuratie het plaatsen plaatst de waarde van dit eindpunt handles parameter, die het maximaal toegestane aantal handgrepen per API bepaalt. De standaardwaarde van deze eigenschap is 100. Handelaren kunnen deze waarde wijzigen via de beheerfunctie (Stores > Settings:Configuration > System > Full Page Cache > Handles Param).

Bekend probleem

Probleem: Adobe Commerce geeft een verkeerde controlesom fout tijdens downloaden door Composer van repo.magento.comen wordt het downloaden van het pakket onderbroken. Dit probleem kan optreden tijdens het downloaden van releasepakketten die tijdens de prerelease beschikbaar zijn gesteld en die worden veroorzaakt door een herverpakking van de magento/module-page-cache pakket.

Workaround: Merchants die deze fout tijdens het downloaden zien, kunnen de volgende stappen uitvoeren:

  1. Verwijder de /vendor directory binnen het project, als er een bestaat.
  2. Voer de bin/magento composer update magento/module-page-cache gebruiken. Met deze opdracht werkt u alleen de page cache pakket.

Als het probleem met de controlesom zich blijft voordoen, verwijdert u het gereedschap composer.lock bestand voordat het opnieuw wordt uitgevoerd bin/magento composer update gebruiken om elk pakket bij te werken.

Adobe Commerce 2.4.5-p4

De Adobe Commerce 2.4.5-p4 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-42 van de Adobe.

patch toepassen om beveiligingskwetsbaarheid CVE-2022-31160 te verhelpen in jQuery-UI-bibliotheek

jQuery-UI Bibliotheekversie 1.13.1 heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die meerdere versies van Adobe Commerce en Magento Open Source beïnvloedt. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die betrokken implementaties uitvoeren, moeten de patch toepassen die in de jQuery UI-beveiligingskwetsbaarheid CVE-2022-31160-oplossing voor 2.4.4-, 2.4.5- en 2.4.6-releases Kennisbank, artikel.

Adobe Commerce 2.4.5-p3

Het beveiligingsrelease van Adobe Commerce 2.4.5-p3 biedt beveiligingsoplossingen voor kwetsbaarheden die in eerdere releases zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin Adobe.

patch toepassen om beveiligingskwetsbaarheid CVE-2022-31160 te verhelpen in jQuery-UI-bibliotheek

jQuery-UI Bibliotheekversie 1.13.1 heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die meerdere versies van Adobe Commerce en Magento Open Source beïnvloedt. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die betrokken implementaties uitvoeren, moeten de patch toepassen die in de Security vulnerability CVE-2022-31160 fix van query-interface voor 2.4.4-, 2.4.5- en 2.4.6-releases Kennisbank, artikel.

Beveiligingsmarkering

Het standaardgedrag van de isEmailAvailable GraphQL-query en (V1/customers/isEmailAvailable) Het REST-eindpunt is gewijzigd. De API retourneert nu standaard altijd true. Handelaren kunnen het oorspronkelijke gedrag inschakelen, dat wil zeggen terugsturen true als de e-mail niet bestaat in de database en false als het bestaat.

Platformupgrades

Platformupgrades voor deze release verbeteren de naleving van de nieuwste best practices op het gebied van beveiliging.

  • Varnish cache 7.3-ondersteuning. Deze release is compatibel met de nieuwste versie van Varnish Cache 7.3. De compatibiliteit blijft behouden met de 6.0.x- en 7.2.x-versies, maar we raden u aan Adobe Commerce 2.4.5-p3 alleen te gebruiken met Varnish Cache versie 7.3 of versie 6.0 LTS.

  • RabbitMQ 3.11-ondersteuning. Deze release is compatibel met de nieuwste versie van RabbitMQ 3.11. Compatibiliteit blijft behouden met RabbitMQ 3.9, dat tot augustus 2023 wordt ondersteund, maar we raden u aan Adobe Commerce 2.4.5-p3 alleen te gebruiken met RabbitMQ 3.11.

  • JavaScript-bibliotheken. Verouderde JavaScript-bibliotheken zijn bijgewerkt naar de nieuwste kleine versies of patchversies, waaronder moment.js bibliotheek (v2.29.4), jQuery UI bibliotheek (v1.13.2), en jQuery validatie-insteekbibliotheek (v1.19.5).

Opmerkingen bij de release Adobe Commerce 2.4.5-p2

Het beveiligingsrelease van Adobe Commerce 2.4.5-p2 biedt drie beveiligingsoplossingen voor kwetsbaarheden die in vorige releases zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB23-17 van de Adobe.

Adobe Commerce 2.4.5-p1

De Adobe Commerce 2.4.5-p1-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die zijn geïdentificeerd in de vorige release (Adobe Commerce 2.4.5 en Magento Open Source 2.4.5).

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie Beveiligingsbulletin APSB22-48 Adobe.

Één van de veiligheidsinsectenmoeilijke situaties omvatte de verwezenlijking van een nieuwe configuratie het plaatsen. De E-mailbevestiging vereisen als e-mail is gewijzigd Met configuratie-instelling kunnen beheerders een e-mailbevestiging vereisen wanneer een Admin-gebruiker zijn e-mailadres wijzigt.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f