Documentatie Commerce Gegevens vrijgeven

Opmerkingen bij de release voor beveiligingspatches van Adobe Commerce 2.4.6

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Onderwerpen:

Gemaakt voor:

Ervaren
Beheerder
Ontwikkelaar

In deze release met beveiligingspatches worden updates vastgelegd om de beveiliging van uw Adobe Commerce-implementatie te verbeteren. De informatie omvat onder meer, maar is niet beperkt tot:

Oplossingen voor beveiligingsproblemen
De hoogtepunten van de veiligheid die meer detail over verhogingen en updates inbegrepen in het veiligheidspatch verstrekken
Bekende problemen
Instructies voor het aanbrengen van extra pleisters indien nodig
Informatie over hotfixes die in de release zijn opgenomen

Meer informatie over beveiligingspatchreleases:

Adobe Commerce 2.4.6-p6

De beveiligingsrelease van Adobe Commerce 2.4.6-p6 biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die zijn geïdentificeerd in eerdere versies van 2.4.6.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-40 🔗.

Beveiligingsmarkering

Voor verenigbaarheid met versie 2.4.6-p6 van Commerce, moeten de handelaren die de uitbreiding hebben van Adobe Commerce B2B aan B2B versie 1.4.2-p1bevorderen.

Aanvullende beveiligingsverbeteringen

toegevoegde Steun van de Integriteit Subresource (SRI) om aan PCI 4.0 vereisten voor controle van manuscriptintegriteit op betalingspagina's te voldoen. De ondersteuning van Subresource Integrity (SRI) biedt integriteitshashes voor alle JavaScript-elementen die zich in het lokale bestandssysteem bevinden. De standaardSRI eigenschap wordt uitgevoerd slechts op de betalingspagina's voor Admin en storefront gebieden. Handelaars kunnen de standaardconfiguratie echter uitbreiden naar andere pagina's. Zie Integriteit Subresourcein de Gids van de Ontwikkelaar van Commerce PHP.

Veranderingen in het Beleid van de Veiligheid van de Inhoud (CSP) - de updates en de verhogingen van de Configuratie aan het Beleid van de Veiligheid van de Veiligheid van de Inhoud van Adobe Commerce (CSPs) om aan PCI 4.0 vereisten te voldoen. Voor details, zie Beleid van de Veiligheid van de Inhoudin de Gids van de Ontwikkelaar van Commerce PHP.

De standaard CSP-configuratie voor betalingspagina's voor Commerce Admin- en storefront-gebieden is nu restrict -modus. Voor alle andere pagina's is de standaardconfiguratie de modus report-only . In versies vóór 2.4.7, werd CSP gevormd op report-only wijze voor alle pagina's.
Een Nonce-provider toegevoegd om uitvoering van inline scripts in een CSP toe te staan. De nonce-provider vereenvoudigt het genereren van unieke nonce-tekenreeksen voor elke aanvraag. De tekenreeksen worden vervolgens aan de CSP-header gekoppeld.

Toegevoegde opties voor het configureren van aangepaste URI's voor het rapporteren van CSP-overtredingen voor de pagina Volgorde maken in Beheer en de pagina Uitchecken in de winkel. U kunt de configuratie toevoegen vanuit de beheerfunctie of door de URI toe te voegen aan het config.xml -bestand.

note note

note note
NOTE
Als u de CSP-configuratie bijwerkt naar de modus `restrict` , kunnen bestaande inlinescripts op betaalpagina's in de beheerdersinterface en de opslagront worden geblokkeerd. Dit leidt tot de volgende browserfout wanneer een pagina wordt geladen: `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src` . Verbeter deze fouten door de whitelistconfiguratie bij te werken om vereiste manuscripten toe te staan. Zie het Oplossen van problemenin de Gids van de Ontwikkelaar van Commerce PHP.

NOTE

Als u de CSP-configuratie bijwerkt naar de modus restrict , kunnen bestaande inlinescripts op betaalpagina's in de beheerdersinterface en de opslagront worden geblokkeerd. Dit leidt tot de volgende browserfout wanneer een pagina wordt geladen: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src . Verbeter deze fouten door de whitelistconfiguratie bij te werken om vereiste manuscripten toe te staan. Zie het Oplossen van problemenin de Gids van de Ontwikkelaar van Commerce PHP.

Adobe Commerce 2.4.6-p5

De Adobe Commerce 2.4.6-p5-beveiligingsrelease biedt oplossingen voor beveiligingsproblemen voor kwetsbaarheden die zijn geïdentificeerd in eerdere versies van 2.4.6.

Voor de recentste informatie over deze moeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-18 🔗.

Adobe Commerce 2.4.6-p4

De Adobe Commerce 2.4.6-p4 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen die de naleving van de meest recente best practices op het gebied van beveiliging verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-03 🔗.

Beveiligingsmarkeringen

Deze release introduceert twee belangrijke beveiligingsverbeteringen:

Veranderingen in het gedrag van niet-geproduceerde geheim voorgeheugensleutels:
- Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van sjablooninstructies of de methoden setCacheKey of setData .)
- Niet-gegenereerde cachesleutels voor blokken mogen nu alleen letters, cijfers, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten.
Beperkingen op het aantal auto-geproduceerde couponcodes. Commerce beperkt nu het aantal couponcodes dat automatisch wordt gegenereerd. Het standaardmaximum is 250.000. Handelaars kunnen de nieuwe Code Quantity Limit configuratieoptie (Stores > Settings:Configuration > Customers > Promotions) gebruiken om deze nieuwe grens te bepalen.

Adobe Commerce 2.4.6-p3

De Adobe Commerce 2.4.6-p3 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsverbeteringen om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-50 🔗.

Beveiligingsmarkeringen

Deze versie introduceert een nieuwe instelling voor de configuratie van het volledige paginacachegeheugen die helpt de risico's te beperken die aan het {BASE-URL}/page_cache/block/esi HTTP -eindpunt zijn gekoppeld. Dit eindpunt steunt onbeperkte, dynamisch geladen inhoudsfragmenten van de lay-outhandvatten van Commerce en blokstructuren. Met de nieuwe configuratie-instelling Handles Param wordt de waarde van de parameter handles van dit eindpunt ingesteld, die het maximaal toegestane aantal handgrepen per API bepaalt. De standaardwaarde van deze eigenschap is 100. Handelaars kunnen deze waarde wijzigen via Beheer (Stores > Settings:Configuration > System > Full Page Cache > Handles Param ).

Hotfixes die in deze release zijn opgenomen

Adobe Commerce 2.4.6-p3 bevat de resolutie van de prestatievermindering die is vastgelegd door patch ACSD-51892. De handelaren worden niet beïnvloed door de kwestie die door dit flard wordt gericht, die in ACSD-51892 wordt beschreven: De kwestie van prestaties waar de configuratiedossiers veelvoudige tijdenhet artikel van de Kennisbank laden.

Bekend probleem

Uitgave: Adobe Commerce toont een wrong checksum fout tijdens download door Composer van repo.magento.com, en de pakketdownload wordt onderbroken. Dit probleem kan optreden tijdens het downloaden van releasepakketten die tijdens de prereleaseperiode beschikbaar zijn gesteld en wordt veroorzaakt door het opnieuw verpakken van het magento/module-page-cache -pakket.

Oplossing: De handelaren die deze fout tijdens download zien kunnen deze stappen nemen:

Verwijder de map /vendor in het project, als die bestaat.
Voer de opdracht bin/magento composer update magento/module-page-cache uit. Met deze opdracht wordt alleen het page cache -pakket bijgewerkt.

Als het probleem met de controlesom aanhoudt, verwijdert u het bestand composer.lock voordat u de opdracht bin/magento composer update opnieuw uitvoert om elk pakket bij te werken.

2.4.6-p2

De Adobe Commerce 2.4.6-p2 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release biedt ook beveiligingsverbeteringen om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-42 🔗.

patch toepassen om beveiligingskwetsbaarheid CVE-2022-31160 te verhelpen in jQuery-UI-bibliotheek

jQuery-UI versie 1.13.1 van de bibliotheek heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die van invloed is op meerdere versies van Adobe Commerce en Magento Open Source. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die beïnvloede plaatsingen in werking stellen zouden de flard moeten toepassen die in de wordt gespecificeerd jQuery UI veiligheidskwetsbaarheid CVE-2022-31160 moeilijke situatie voor 2.4.4, 2.4.5, en 2.4.6 versieshet artikel van de Kennisbank.

Beveiligingsmarkering

De waarde van fastcgi_pass in het nginx.sample -bestand is geretourneerd naar de vorige (pre-2.4.6-p1) waarde van fastcgi_backend . Deze waarde is per ongeluk gewijzigd in php-fpm:9000 in Adobe Commerce 2.4.6-p1.

Hotfixes die in deze release zijn opgenomen

Adobe Commerce 2.4.6-p2 bevat een resolutie van de verslechtering van de prestaties die werd aangepakt door patch ACSD-51892. De handelaren worden niet beïnvloed door de kwestie die door dit flard wordt gericht, die in ACSD-51892 wordt beschreven: De kwestie van prestaties waar de configuratiedossiers veelvoudige tijdenhet artikel van de Kennisbank laden.

Adobe Commerce 2.4.6-p1

De Adobe Commerce 2.4.6-p1 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies zijn geïdentificeerd. Deze release bevat ook beveiligingsupdates en platformupgrades om de naleving van de nieuwste best practices op het gebied van beveiliging te verbeteren.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB23-35 🔗.

patch toepassen om beveiligingskwetsbaarheid CVE-2022-31160 te verhelpen in jQuery-UI-bibliotheek

jQuery-UI versie 1.13.1 van de bibliotheek heeft een bekende kwetsbaarheid op het gebied van beveiliging (CVE-2022-31160) die van invloed is op meerdere versies van Adobe Commerce en Magento Open Source. Deze bibliotheek is afhankelijk van Adobe Commerce en Magento Open Source 2.4.4, 2.4.5 en 2.4.6. Merchants die beïnvloede plaatsingen in werking stellen zouden de flard moeten toepassen die in de de veiligheidskwetsbaarheid van de Vraag UI CVE-2022-31160 moeilijke situatie voor 2.4.4, 2.4.5, en 2.4.6 versieshet artikel van de Kennisbank wordt gespecificeerd.

Beveiligingsmarkering

Het standaardgedrag van de isEmailAvailablevraag van GraphQL en (V1/customers/isEmailAvailable) REST eindpunt is veranderd. De API retourneert nu standaard altijd true . Merchants kunnen het oorspronkelijke gedrag inschakelen, dat wil zeggen dat true wordt geretourneerd als het e-mailbericht niet in de database bestaat en false als het wel bestaat.

Platformupgrades

Platformupgrades voor deze release verbeteren de naleving van de nieuwste best practices op het gebied van beveiliging.

Varnish geheime voorgeheugen 7.3 steun. Deze release is compatibel met de nieuwste versie van Varnish Cache 7.3. Compatibiliteit blijft behouden met de 6.0.x- en 7.2.x-versies, maar Adobe wordt aanbevolen Adobe Commerce 2.4.6-p1 alleen te gebruiken met Varnish Cache versie 7.3 of versie 6.0 LTS.
RabbitMQ 3.11 steun. Deze release is compatibel met de nieuwste versie van RabbitMQ 3.11. Compatibiliteit blijft behouden met RabbitMQ 3.9, dat tot augustus 2023 wordt ondersteund, maar Adobe wordt alleen aanbevolen om Adobe Commerce 2.4.6-p1 te gebruiken met RabbitMQ 3.11.
bibliotheken van JavaScript. Verouderde JavaScript-bibliotheken zijn bijgewerkt naar de nieuwste secundaire versies of patchversies, waaronder moment.js library (v2.29.4), jQuery UI library (v1.13.2) en jQuery validatie-insteekbibliotheek (v1.19.5).

Bekende problemen

Het bestand nginx.sample is per ongeluk bijgewerkt met een wijziging die de waarde van fastcgi_pass from fastcgi_backend in php-fpm:9000 wijzigt. Deze wijziging kan veilig worden hersteld of genegeerd.

Ontbrekende afhankelijkheden voor het B2B-beveiligingspakket veroorzaken de volgende installatiefout bij de installatie of upgrade van de B2B-extensie naar 1.4.0.

code language-terminal

code language-terminal
`Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.`

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

Dit probleem kan worden opgelost door handgebiedsdelen voor het B2B veiligheidspakket met a stabiliteitsmarkeringtoe te voegen. Voor details, zie de B2B versienota's.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f