Notas de versão de patches de segurança do Adobe Commerce 2.4.3

Essas notas de versão de patch de segurança capturam atualizações para aprimorar a segurança da implantação do Adobe Commerce. As informações incluem, entre outras, as seguintes:

  • Correções de erros de segurança
  • Destaques de segurança que fornecem mais detalhes sobre as melhorias e atualizações incluídas no patch de segurança
  • Problemas conhecidos
  • Instruções para aplicar patches adicionais, se necessário
  • Informações sobre hot fixes incluídos na versão

Saiba mais sobre lançamentos de patch de segurança:

Adobe Commerce 2.4.3-p3

A versão de segurança 2.4.3-p3 do Adobe Commerce fornece correções de segurança para vulnerabilidades que foram identificadas em versões anteriores da 2.4.3. Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB22-38.

Aplique o AC-3022.patch para continuar oferecendo a DHL como transportadora

A DHL apresentou o schema versão 6.2 e descontinuará o schema versão 6.0 em breve. Adobe Commerce 2.4.4 e versões anteriores que suportam a integração DHL suportam apenas a versão 6.0. Os comerciantes que implantarem essas versões devem aplicar o AC-3022.patch o mais rápido possível para continuarem oferecendo a DHL como transportadora. Consulte o artigo da Base de conhecimento Aplicar um patch para continuar oferecendo a DHL como transportadora para obter informações sobre como baixar e instalar o patch.

Destaques da segurança

  • Os recursos de ACL foram adicionados ao Inventário.
  • A segurança do modelo de estoque foi aprimorada.

Adobe Commerce 2.4.3-p2

A versão de segurança 2.4.3-p2 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB22-13. A versão de patch também resolve a vulnerabilidade tratada pelo MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip,MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch e MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.

Aplique o AC-3022.patch para continuar oferecendo a DHL como transportadora

A DHL apresentou o schema versão 6.2 e descontinuará o schema versão 6.0 em breve. Adobe Commerce 2.4.4 e versões anteriores que suportam a integração DHL suportam apenas a versão 6.0. Os comerciantes que implantarem essas versões devem aplicar o AC-3022.patch o mais rápido possível para continuarem oferecendo a DHL como transportadora. Consulte o artigo da Base de conhecimento Aplicar um patch para continuar oferecendo a DHL como transportadora para obter informações sobre como baixar e instalar o patch.

Destaques da segurança

  • O uso da variável de email foi descontinuado na versão 2.3.4 como parte de uma mitigação de risco de segurança em favor de uma sintaxe de variável mais estrita. Esse comportamento herdado foi totalmente removido nesta versão como uma continuação dessa mitigação de riscos de segurança.

    Como resultado, os modelos de email ou de boletim informativo que funcionavam em versões anteriores podem não funcionar corretamente após a atualização para o Adobe Commerce 2.4.3-p2. Os modelos afetados incluem substituições de administrador, temas, temas secundários e modelos de módulos personalizados ou extensões de terceiros. Sua implantação ainda pode ser afetada mesmo após o uso da Ferramenta de compatibilidade de atualização para corrigir usos obsoletos. Consulte Migrando modelos de email personalizados para obter informações sobre os possíveis efeitos e diretrizes da migração de modelos afetados.

  • Os tokens de acesso OAuth e os tokens de redefinição de senha agora são criptografados quando armazenados no banco de dados.

  • A validação foi fortalecida para impedir o upload de extensões de arquivo não alfanuméricas.

  • O Swagger agora está desativado por padrão quando o Adobe Commerce está no modo de produção.

  • Os desenvolvedores agora podem configurar o limite de tamanho para arrays aceitos pelos endpoints RESTful da Adobe Commerce com base no endpoint. Consulte Segurança de API.

  • Adição de mecanismos para limitar o tamanho e o número de recursos que um usuário pode solicitar por meio de uma API da Web em todo o sistema e para substituir os padrões em módulos individuais. Este aprimoramento resolve o problema tratado por MC-43048__set_rate_limits__2.4.3.patch. Consulte Segurança de API.

2.4.3-p1

A versão de segurança 2.4.3-p1 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas na versão anterior (Adobe Commerce 2.4.3 e Magento Open Source 2.4.3). Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança Adobe APSB21-86. A versão de correção também fornece correções de erros para as extensões desenvolvidas pelo fornecedor Braintree, Klarna e Vertex.

Aplique o AC-3022.patch para continuar oferecendo a DHL como transportadora

A DHL apresentou o schema versão 6.2 e descontinuará o schema versão 6.0 em breve. Adobe Commerce 2.4.4 e versões anteriores que suportam a integração DHL suportam apenas a versão 6.0. Os comerciantes que implantarem essas versões devem aplicar o AC-3022.patch o mais rápido possível para continuarem oferecendo a DHL como transportadora. Consulte o artigo da Base de conhecimento Aplicar um patch para continuar oferecendo a DHL como transportadora para obter informações sobre como baixar e instalar o patch.

Hotfixes

Esta versão inclui o seguinte hotfix e todos os hotfixes que foram lançados para a versão de patch anterior.

Destaques da segurança

As IDs de sessão foram removidas do banco de dados. Essa alteração de código pode resultar em alterações quebradas se os comerciantes tiverem personalizações ou extensões instaladas que usam as IDs de sessão brutas armazenadas no banco de dados.

Acesso de administrador restrito às pastas da Galeria de Mídia. As permissões padrão da Galeria de mídia agora permitem somente operações de diretório (exibir, carregar, excluir e criar) que são permitidas explicitamente pela configuração. Os usuários administradores não podem mais acessar ativos de mídia pela Galeria de Mídia que foram carregados fora dos diretórios catalog/category ou wysiwyg. Os administradores que desejam acessar ativos de mídia devem movê-los para uma pasta explicitamente permitida ou ajustar suas configurações. Consulte Modificar permissões de pastas do Media Library.

Limites reduzidos para a complexidade da consulta GraphQL. A complexidade máxima de consulta permitida do GraphQL foi reduzida para evitar ataques de negação de serviço (DOS). Consulte configuração de segurança do GraphQL.

Vulnerabilidades recentes no teste de penetração foram corrigidas nesta versão.

A expressão de origem sem suporte unsafe-inline foi removida da diretiva de Política de Segurança de Conteúdo frame-ancestors. GitHub-33101

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f