Atualização de segurança disponível para o Adobe Commerce - APSB24-40
Em 17 de julho de 2024, lançamos um hotfix além da versão de atualização de segurança em 11 de junho de 2024 e/ou o patch isolado lançado em 28 de junho de 2024.
Verifique todos os ambientes de produção e não produção para ajudar a garantir que seu armazenamento seja completamente corrigido em todas as instâncias. Execute ação imediata para resolver a vulnerabilidade.
1. Verifique se você está na versão mais recente do ECE Tools. Caso contrário, atualize (ou pule para o item 2). Para verificar sua versão existente, execute este comando:
composer show magento/ece-tools2. Se você já estiver na versão mais recente do ECE Tools, verifique a presença do arquivo
op-exclude.txt. Para fazer isso, execute este comando:ls op-exclude.txt.Se esse arquivo não estiver presente, adicione https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ao repositório, confirme a alteração e reimplante.3. Sem precisar atualizar o ECE Tools, você também pode apenas adicionar/modificar o https://github.com/magento/magento-cloud/blob/master/op-exclude.txt no repositório, confirmar a alteração e reimplantar.
Opção 1 - Para comerciantes que não aplicaram a atualização de segurança de 11 de junho de 2024, nem o patch isolado lançado em 28 de junho de 2024
- Aplicação do hotfix lançado em 17 de julho de 2024.
- Aplique o patch de segurança.
- Habilitar maintenance mode.
- Desabilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:disable). - Gire o encryption keys.
- Limpe o cache.
- Habilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:enable). - Desabilitar maintenance mode.
OU
- Aplique o patch isolado. OBSERVAÇÃO: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.
- Habilitar maintenance mode.
- Desabilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:disable). - Gire o encryption keys.
- Limpe o cache.
- Habilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:enable). - Desabilitar maintenance mode.
Opção 2 - Para comerciantes que já aplicaram a atualização de segurança de 11 de junho de 2024 e/ou o patch isolado lançado em 28 de junho de 2024
- Aplicação do hotfix lançado em 17 de julho de 2024.
- Habilitar maintenance mode.
- Desabilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:disable). - Gire o encryption keys.
- Limpe o cache.
- Habilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:enable). - Desabilitar maintenance mode.
Opção 3 - Para comerciantes que já (1) aplicaram a atualização de segurança de 11 de junho de 2024 e/ou (2) o patch isolado lançado em 28 de junho de 2024 e (3) giraram suas chaves de criptografia
- Aplique o hotfix lançado em 17 de julho de 2024.
1. Habilitar maintenance mode.
2. Desabilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:disable).3. Gire o encryption keys.
4. Habilitar a execução de cron (comando Commerce on Cloud:
vendor/bin/ece-tools cron:enable).5. Desabilitar maintenance mode.
Neste artigo, você descobrirá como implementar o patch isolado para esse problema nas versões atual e anterior do Adobe Commerce e do Magento Open Source.
OBSERVAÇÃO: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.
Produtos e versões afetados
Adobe Commerce na nuvem, Adobe Commerce no local e Magento Open Source:
- 2.4.7-p1 e anterior
- 2.4.6-p6 e anterior
- 2.4.5-p8 e anterior
- 2.4.4-p9 e anterior
Solução para Adobe Commerce na nuvem, Adobe Commerce no local de software e Magento Open Source
Para ajudar a resolver a vulnerabilidade dos produtos e versões afetados, aplique o patch do VULN-27015 (dependendo da sua versão) e gire o encryption keys.
Detalhes do Hotfix hotfix
- Baixe o Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
Detalhes do patch isolado
OBSERVAÇÃO: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.
Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce/Magento Open Source:
Para a versão 2.4.7:
Para as versões 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
Para as versões 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
Para as versões 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
Como aplicar o patch isolado e o hotfix
Descompacte o arquivo e consulte Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.
Somente para Adobe Commerce em comerciantes na nuvem - Como saber se os patches isolados foram aplicados
Considerando que não é possível verificar facilmente se o problema foi corrigido, você pode querer verificar se o patch isolado VULN-27015 foi aplicado com sucesso.
Você pode fazer isso seguindo as etapas abaixo, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:
-
Executar o comando:
-
Você deve ver uma saída semelhante a esta, onde VULN-27015 retorna o status Aplicado:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Girar/alterar o encryption key após aplicar o patch
Para obter orientação sobre como girar/alterar o encryption key após aplicar o patch, consulte o Guia de sistemas do administrador: Encryption key na documentação do Guia de Sistemas do Administrador do Commerce.
Orientação adicional sobre proteção do armazenamento e rotação de chaves de criptografia
Para obter orientações adicionais sobre como proteger seu armazenamento e girar chaves de criptografia em relação ao CVE-2024-34102, consulte Orientação sobre como proteger seu armazenamento e girar chaves de criptografia: CVE-2024-34102, também na Base de Dados de Conhecimento Adobe Commerce.
Atualizações de segurança
Atualizações de segurança disponíveis para o Adobe Commerce:
Leitura relacionada
Habilitar ou desabilitar maintenance mode no Guia de Instalação do Adobe Commerce