Atualização de segurança disponível para o Adobe Commerce - APSB24-40

NOTE
**Esta é uma atualização urgente relacionada a CVE-2024-34102. O Adobe está ciente de que CVE-2024-34102 foi explorado na natureza em ataques muito limitados que atingiram os comerciantes do Adobe Commerce.

Em 17 de julho de 2024, lançamos um hotfix além da versão de atualização de segurança em 11 de junho de 2024 e/ou o patch isolado lançado em 28 de junho de 2024.

Verifique todos os ambientes de produção e não produção para ajudar a garantir que seu armazenamento seja completamente corrigido em todas as instâncias. Execute ação imediata para resolver a vulnerabilidade.

NOTE
Somente para Adobe Commerce em comerciantes da nuvem:

1. Verifique se você está na versão mais recente do ECE Tools. Caso contrário, atualize (ou pule para o item 2). Para verificar sua versão existente, execute este comando:composer show magento/ece-tools
2. Se você já estiver na versão mais recente do ECE Tools, verifique a presença do arquivo op-exclude.txt. Para fazer isso, execute este comando:ls op-exclude.txt.Se esse arquivo não estiver presente, adicione https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ao repositório, confirme a alteração e reimplante.
3. Sem precisar atualizar o ECE Tools, você também pode apenas adicionar/modificar o https://github.com/magento/magento-cloud/blob/master/op-exclude.txt no repositório, confirmar a alteração e reimplantar.

Opção 1 - Para comerciantes que não aplicaram a atualização de segurança de 11 de junho de 2024, nem o patch isolado lançado em 28 de junho de 2024

  1. Aplicação do hotfix lançado em 17 de julho de 2024.
  2. Aplique o patch de segurança.
  3. Habilitar maintenance mode.
  4. Desabilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  5. Gire o encryption keys.
  6. Limpe o cache.
  7. Habilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  8. Desabilitar maintenance mode.

OU

  1. Aplique o patch isolado. OBSERVAÇÃO: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.
  2. Habilitar maintenance mode.
  3. Desabilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  4. Gire o encryption keys.
  5. Limpe o cache.
  6. Habilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  7. Desabilitar maintenance mode.

Opção 2 - Para comerciantes que aplicaram a atualização de segurança de 11 de junho de 2024 e/ou o patch isolado lançado em 28 de junho de 2024

  1. Aplicação do hotfix lançado em 17 de julho de 2024.
  2. Habilitar maintenance mode.
  3. Desabilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  4. Gire o encryption keys.
  5. Limpe o cache.
  6. Habilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  7. Desabilitar maintenance mode.

Opção 3 - Para comerciantes que (1) aplicaram a atualização de segurança de 11 de junho de 2024 e/ou (2) o patch isolado lançado em 28 de junho de 2024 e (3) giraram suas chaves de criptografia

  • Aplique o hotfix lançado em 17 de julho de 2024.
NOTE
Para garantir que você ainda esteja seguro após a atualização, você também deve girar o encryption keys:

1. Habilitar maintenance mode.
2. Desabilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
3. Gire o encryption keys.
4. Habilitar a execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
5. Desabilitar maintenance mode.

Neste artigo, você descobrirá como implementar o patch isolado para esse problema nas versões atual e anterior do Adobe Commerce e do Magento Open Source.
OBSERVAÇÃO: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.

Produtos e versões afetados

Adobe Commerce na nuvem, Adobe Commerce no local e Magento Open Source:

  • 2.4.7-p1 e anterior
  • 2.4.6-p6 e anterior
  • 2.4.5-p8 e anterior
  • 2.4.4-p9 e anterior

Solução para Adobe Commerce na nuvem, Adobe Commerce no local de software e Magento Open Source

Para ajudar a resolver a vulnerabilidade dos produtos e versões afetados, aplique o patch do VULN-27015 (dependendo da sua versão) e gire o encryption keys.

Detalhes do Hotfix hotfix

Detalhes do patch isolado

OBSERVAÇÃO: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.

Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce/Magento Open Source:

Para a versão 2.4.7:

Para as versões 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Para as versões 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Para as versões 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Como aplicar o patch isolado e o hotfix

Descompacte o arquivo e consulte Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.

Somente para Adobe Commerce em comerciantes na nuvem - Como saber se os patches isolados foram aplicados

Considerando que não é possível verificar facilmente se o problema foi corrigido, você pode querer verificar se o patch isolado VULN-27015 foi aplicado com sucesso.

Você pode fazer isso seguindo as etapas abaixo, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:

  1. Instale a Ferramenta de Correções de Qualidade.

  2. Executar o comando:

    cve-2024-34102-tell-if-patch-plied-code

  3. Você deve ver uma saída semelhante a esta, onde VULN-27015 retorna o status Aplicado:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Girar/alterar o encryption key após aplicar o patch

Para obter orientação sobre como girar/alterar o encryption key após aplicar o patch, consulte o Guia de sistemas do administrador: Encryption key na documentação do Guia de Sistemas do Administrador do Commerce.

Orientação adicional sobre proteção do armazenamento e rotação de chaves de criptografia

Para obter orientações adicionais sobre como proteger seu armazenamento e girar chaves de criptografia em relação ao CVE-2024-34102, consulte Orientação sobre como proteger seu armazenamento e girar chaves de criptografia: CVE-2024-34102, também na Base de Dados de Conhecimento Adobe Commerce.

Atualizações de segurança

Atualizações de segurança disponíveis para o Adobe Commerce:

Leitura relacionada

Habilitar ou desabilitar maintenance mode no Guia de Instalação do Adobe Commerce

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a