DocumentatieCommerceGegevens vrijgeven

Opmerkingen bij de release voor beveiligingspatches van Adobe Commerce 2.4.7

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Onderwerpen:

Gemaakt voor:

  • Ervaren
  • Beheerder
  • Ontwikkelaar

In deze release met beveiligingspatches worden updates vastgelegd om de beveiliging van uw Adobe Commerce-implementatie te verbeteren. De informatie omvat onder meer, maar is niet beperkt tot:

  • Oplossingen voor beveiligingsproblemen
  • De hoogtepunten van de veiligheid die meer detail over verhogingen en updates inbegrepen in het veiligheidspatch verstrekken
  • Bekende problemen
  • Instructies voor het aanbrengen van extra pleisters indien nodig
  • Informatie over hotfixes die in de release zijn opgenomen

Meer informatie over beveiligingspatchreleases:

2.4.7-p3

De Adobe Commerce 2.4.7-p3 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies van 2.4.7 worden geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-73 🔗.

NOTE
Nadat u deze beveiligingspatch hebt geïnstalleerd, moeten Adobe Commerce B2B-handelaren ook een update uitvoeren naar de nieuwste compatibele B2B-beveiligingspatchrelease. Zie B2B versienota's.

Hooglichten

Deze release bevat de volgende hooglichten:

  • verbetering TinyMCE - de redacteur van WYSIWYGin Admin gebruikt nu de recentste versie van het gebiedsdeel TinyMCE (7.3 ​).

    • TinyMCE 7.3 biedt een verbeterde gebruikerservaring, betere samenwerking en verbeterde efficiëntie. TinyMCE 5 is verwijderd uit de releaselijn 2.4.8. ​

    • Aangezien er een veiligheidskwetsbaarheid ( CVE-2024-38357) was die in TinyMCE 5.10 wordt gemeld, werd het gebiedsdeel ook bevorderd voor alle momenteel gesteunde versielijnen en inbegrepen in alle de veiligheidspatches van Oktober 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js verbetering - Adobe Commerce gebruikt nu de recentste versie van Require.js (2.3.7).

    • Aangezien er een veiligheidskwetsbaarheid ( CVE-2024-38999) in Require.js 2.3.6 werd gemeld, werd het gebiedsdeel ook bevorderd voor alle momenteel gesteunde versielijnen en inbegrepen in alle de veiligheidspatches van oktober 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Deze updates zijn compatibel met oudere versies en hebben geen invloed op aanpassingen en extensies. ​

Hotfixes die in deze release zijn opgenomen

Deze release bevat een hotfix om een probleem op te lossen met de betaalgateway van de Braintree.

Het systeem omvat nu de noodzakelijke gebieden om aan de 3DS VISA mandaatvereisten te voldoen wanneer het gebruiken van Braintree als betalingsgateway. Dit zorgt ervoor dat alle transacties voldoen aan de recentste beveiligingsnormen die door VISA zijn vastgesteld. Voorheen werden deze extra velden niet opgenomen in de verzonden betalingsinformatie, hetgeen tot niet-naleving van de nieuwe VISA-vereisten had kunnen leiden.

2.4.7-p2

De Adobe Commerce 2.4.7-p2 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies van 2.4.7 worden geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-61 🔗.

Hooglichten

Deze release bevat de volgende hooglichten:

  • snelheidsbeperking voorone-time passwords - De volgende nieuwe opties van de systeemconfiguratie zijn nu beschikbaar om tarief toe te laten beperkt op two-factor authentication (2FA) one-time password (OTP) bevestiging:

    • probeert opnieuw pooggrens voor two-Factor Authentificatie
    • two-FactorAuthentificatie lockout tijd (seconden)

    De Adobe adviseert het plaatsen van een drempel voor bevestiging 2FA OTP om het aantal pogingen te beperken om brute-krachtaanvallen te verlichten. Zie Veiligheid > 2FAin de Gids van de Verwijzing van de Configuratie voor meer informatie.

  • de zeer belangrijke omwenteling van de Encryptie - een nieuw CLI bevel is nu beschikbaar voor het veranderen van uw encryptiesleutel. Zie de Zeer belangrijke Omwenteling van de Encryptie van het Oplossen van problemen: CVE-2024-34102artikel van de Kennisbank voor details.

  • Repareren voor CVE-2020-27511- lost a Prototype.js veiligheidskwetsbaarheid op.

  • Repareren voor CVE-2024-39397- lost een kwetsbaarheid van de de veiligheidsveiligheid van de verre codeuitvoering op. Deze kwetsbaarheid is van invloed op verkopers die de Apache-webserver gebruiken voor onbedrijfsmatige of zelfgehoste implementaties. Deze oplossing is ook beschikbaar als een geïsoleerde pleister. Zie de update van de Veiligheid beschikbaar voor Adobe Commerce - APSB24-61artikel van de Kennisbank voor details.

Hotfixes die in deze release zijn opgenomen

Deze release bevat de volgende hotfixes:

2.4.7-p1

De Adobe Commerce 2.4.7-p1 veiligheidsversie verstrekt veiligheidsinsectenmoeilijke situaties voor kwetsbaarheid die in vorige versies van 2.4.7 zijn geïdentificeerd.

Voor de recentste informatie over de veiligheidsinsectenmoeilijke situaties, zie {het Bulletin van de Veiligheid van de Adobe APSB24-40 🔗.

Hotfix toepassen voor CVE-2024-34102

IMPORTANT
Dit is een dringende update aan onze laatste mededeling betreffende CVE-2024-34102. Het is de Adobe bekend dat CVE-2024-34102 in het wild is uitgebuit in zeer beperkte aanvallen op Adobe Commerce-handelaren. Neem onmiddellijk actie om de kwetsbaarheid op te lossen, als u dit niet hebt gedaan.

voor klanten die geen veiligheidspatch hebben toegepast die op 11 juni, 2024 of het geïsoleerde flard op 28 juni, 2024 werd vrijgegeven:

Optie 1:

  1. Pas een van de beveiligingspatches toe die op 11 juni 2024 zijn uitgebracht:

  2. Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.

  3. roteerencryptiesleutels.

Optie 2:

  1. Pas het geïsoleerde flardtoe.

  2. roteerencryptiesleutels.

voor klanten die reeds een veiligheidspatch hebben toegepast die op 11 juni, 2024 of het geïsoleerde flard op 28 juni, 2024 wordt vrijgegeven:

  1. Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.

  2. roteerencryptiesleutels.

voor klanten die reeds 1) een veiligheidspatch hebben toegepast die op 11 juni, 2024 of, 2) wordt vrijgegeven het geïsoleerde flard op 28 juni, 2024, en 3) hun encryptiesleutels geroteerd:

  1. Pas hotfixtoe die op 17 Juli, 2024 wordt vrijgegeven.

Hooglichten

Deze release bevat de volgende hooglichten:

  • eenmalig wachtwoord van de Update **(OTP) montagesvoor de Authenticator van Google** - Deze update wordt vereist om een fout op te lossen die door a achteruit-onverenigbaar veranderingin 2.4.7 werd geïntroduceerd. De beschrijving van het veld OTP Window bevat nu een nauwkeurige uitleg van de instelling en de standaardwaarde is gewijzigd van 1 in 29 .

  • B2B versiecompatibiliteit - voor verenigbaarheid met versie 2.4.7-p1 van Commerce, de verkopers die de uitbreiding hebben van Adobe Commerce B2B moeten aan B2B versie 1.4.2-p1bevorderen.

Hotfixes die in deze release zijn opgenomen

Adobe Commerce 2.4.7-p1 verhelpt een probleem dat is ontstaan in het bereik van de migratie van UPS-integratie van SOAP naar REST API. Dit probleem betrof klanten die buiten de VS verschepen en belette hen de Metric System/SI-metingen van kilo en centimeters voor pakketten te gebruiken om zendingen met UPS te maken. Zie UPS die de migratie van de methodeintegratie van SOAP aan RESTful APIkennisbankartikel voor details verschepen.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f