Notas de versão de patches de segurança do Adobe Commerce 2.4.4

Essas notas de versão de patch de segurança capturam atualizações para aprimorar a segurança da implantação do Adobe Commerce. As informações incluem, entre outras, as seguintes:

  • Correções de erros de segurança
  • Destaques de segurança que fornecem mais detalhes sobre as melhorias e atualizações incluídas no patch de segurança
  • Problemas conhecidos
  • Instruções para aplicar patches adicionais, se necessário
  • Informações sobre hot fixes incluídos na versão

Saiba mais sobre lançamentos de patch de segurança:

Adobe Commerce 2.4.4-p9

A versão de segurança 2.4.4-p9 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.4.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB24-40.

Atualizações da plataforma

  • Suporte para MariaDB 10.5. Esta versão de patch apresenta compatibilidade com o MariaDB versão 10.5. O Adobe Commerce ainda é compatível com a versão 10.4 do MariaDB, mas o Adobe recomenda usar o Adobe Commerce 2.4.4-p9 e todas as versões de patch futuras somente de segurança 2.4.4 somente com a versão 10.5 do MariaDB, pois a manutenção do MariaDB 10.4 termina em 18 de junho de 2024.

Aprimoramentos adicionais de segurança

Nenhum ataque confirmado relacionado a esses problemas ocorreu até o momento. No entanto, certas vulnerabilidades podem ser potencialmente exploradas para acessar informações do cliente ou assumir o controle de sessões de administrador. A maioria desses problemas exige que um invasor obtenha acesso ao Administrador primeiro. Como resultado, lembramos você de tomar todas as medidas necessárias para proteger seu administrador, incluindo, mas não limitado a, estes esforços:

Os aprimoramentos de segurança desta versão melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

  • Alterações no comportamento de chaves de cache não geradas:

    • As chaves de cache não geradas para blocos agora incluem prefixos que diferem dos prefixos para chaves geradas automaticamente. (As chaves de cache não geradas são chaves definidas por meio da sintaxe de diretiva de modelo ou do setCacheKey ou setData métodos.)
    • As chaves de cache não geradas para blocos agora devem conter apenas letras, dígitos, hifens (-) e caracteres de sublinhado (_).
  • Limitações no número de códigos de cupom gerados automaticamente. O Commerce agora limita o número de códigos de cupom gerados automaticamente. O máximo padrão é 250.000. Os comerciantes podem usar o novo Code Quantity Limit opção de configuração (Stores > Settings:Configuration > Customers > Promotions) para evitar que o sistema fique sobrecarregado com muitos cupons.

  • Otimização do processo padrão de geração de URL de administrador. A geração do URL de administrador padrão é otimizada para aumentar a aleatoriedade, o que torna os URLs gerados menos previsíveis.

  • Adição de suporte à Integridade de sub-recursos (SRI) para atender aos requisitos da PCI 4.0 para a verificação da integridade do script nas páginas de pagamento. O suporte à Integridade de sub-recursos (SRI) fornece hashes de integridade para todos os ativos JavaScript que residem no sistema de arquivos local. O recurso SRI padrão é implementado apenas nas páginas de pagamento para as áreas de Administração e vitrine eletrônica. No entanto, os comerciantes podem estender a configuração padrão para outras páginas. Consulte Integridade de sub-recursos no Guia do desenvolvedor do Commerce PHP.

  • Alterações na Política de segurança de conteúdo (CSP)— atualiza çõ es e aprimora çõ es de configura çã o para as CSPs (Content Security Policies, políticas de seguran ç a de conte ú do) da Adobe Commerce para atender aos requisitos do PCI 4.0. Para obter detalhes, consulte Políticas de segurança de conteúdo no Guia do desenvolvedor do Commerce PHP.

    • A configuração padrão da CSP para páginas de pagamento para o Administrador do Commerce e áreas de vitrine agora é restrict modo. Para todas as outras páginas, a configuração padrão é report-only modo. Em versões anteriores à 2.4.7, o CSP foi configurado no report-only para todas as páginas.

    • Adição de um provedor nonce para permitir a execução de scripts integrados em uma CSP. O provedor nonce facilita a geração de cadeias de caracteres nonce exclusivas para cada solicitação. As cadeias de caracteres são anexadas ao cabeçalho da CSP.

    • Adição de opções para configurar URIs personalizados para relatar violações de CSP para a página Criar pedido no Admin e a página Check-out na loja. Você pode adicionar a configuração do Administrador ou adicionando o URI à config.xml arquivo.

      note note
      NOTE
      Atualização da configuração da CSP para restrict O pode bloquear scripts incorporados existentes nas páginas de pagamento na Administração e na loja, o que causa o seguinte erro do navegador quando uma página é carregada: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Corrija esses erros atualizando a configuração da lista de permissões para permitir os scripts necessários. Consulte Solução de problemas no Guia do desenvolvedor do Commerce PHP.
  • Uma nova definição de configuração de cache de página inteira pode ajudar a reduzir os riscos associados ao HTTP {BASE-URL}/page_cache/block/esi terminal. Esse endpoint oferece suporte a fragmentos de conteúdo irrestritos e carregados dinamicamente de manipuladores de layout e estruturas de bloco do Commerce. O novo Handles params size definição de configuração define o valor desse parâmetro de handles que determina o número máximo permitido de identificadores por API. O valor padrão dessa propriedade é 100. Os comerciantes podem alterar esse valor do campo Administração (Stores > Settings:Configuration > System > Full Page Cache > Handles params size). Consulte Configurar o aplicativo do Commerce para usar o verniz.

  • Limitação de taxa nativa para informações de pagamento transmitidas por meio de REST e APIs do GraphQL. Os comerciantes agora podem configurar limitação de taxa para as informações de pagamento transmitidas usando REST e GraphQL. Essa camada adicional de proteção suporta a prevenção de ataques de cartões e potencialmente diminui o volume de ataques de cartões que testam muitos números de cartão de crédito de uma só vez. Essa é uma alteração no comportamento padrão de um endpoint REST existente. Consulte Limitação de taxa.

  • O comportamento padrão do isEmailAvailable A consulta do GraphQL e o (V1/customers/isEmailAvailable) O endpoint REST foi alterado. Por padrão, agora as APIs sempre retornam true. Os comerciantes podem habilitar o comportamento original definindo o Ativar o login de check-out de convidado na opção Admin para yes, mas isso pode expor as informações do cliente a usuários não autenticados.

2.4.4-p8

A versão de segurança do Adobe Commerce 2.4.4-p8 fornece correções de bugs de segurança para a implantação do Adobe Commerce 2.4.4. Essas atualizações corrigem vulnerabilidades identificadas em versões anteriores.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB24-18.

2.4.4-p7

A versão de segurança 2.4.4-p7 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB24-03.

Destaques da segurança

Esta versão apresenta dois aprimoramentos significativos de segurança:

  • Alterações no comportamento de chaves de cache não geradas:

    • As chaves de cache não geradas para blocos agora incluem prefixos que diferem dos prefixos para chaves geradas automaticamente. (As chaves de cache não geradas são chaves definidas por meio da sintaxe de diretiva de modelo ou do setCacheKey ou setData métodos.)
    • As chaves de cache não geradas para blocos agora devem conter apenas letras, dígitos, hifens (-) e caracteres de sublinhado (_).
  • Limitações no número de códigos de cupom gerados automaticamente. O Commerce agora limita o número de códigos de cupom gerados automaticamente. O máximo padrão é 250.000. Os comerciantes podem usar o novo Code Quantity Limit opção de configuração (Stores > Settings:Configuration > Customers > Promotions) para controlar esse novo limite.

2.4.4-p6

A versão de segurança 2.4.4-p6 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB23-50.

Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Realce de segurança

Esta versão apresenta uma nova configuração de cache de página inteira que ajuda a reduzir os riscos associados à {BASE-URL}/page_cache/block/esi HTTP terminal. Esse endpoint oferece suporte a fragmentos de conteúdo irrestritos e carregados dinamicamente de manipuladores de layout e estruturas de bloco do Commerce. O novo Handles Param definição de configuração define o valor desse parâmetro de handles que determina o número máximo permitido de identificadores por API. O valor padrão dessa propriedade é 100. Os comerciantes podem alterar esse valor do campo Administração (Stores > Settings: Configuration > System > Full Page Cache > Handles Param).

Problema conhecido

Problema: o Adobe Commerce exibe um soma de verificação incorreta erro durante o download pelo Composer de repo.magento.com, e o download do pacote for interrompido. Esse problema pode ocorrer durante o download de pacotes de lançamento que foram disponibilizados durante o pré-lançamento e é causado por um reempacotamento do magento/module-page-cache pacote.

Solução alternativa: os comerciantes que veem esse erro durante o download podem executar estas etapas:

  1. Exclua o /vendor diretório dentro do projeto, se existir.
  2. Execute o bin/magento composer update magento/module-page-cache comando. Esse comando atualiza somente o page cache pacote.

Se o problema de checksum persistir, remova o composer.lock antes de executar novamente a bin/magento composer update para atualizar cada pacote.

2.4.4-p5

A versão de segurança 2.4.4-p5 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB23-42.

Aplicar patch para resolver a vulnerabilidade de segurança CVE-2022-31160 na biblioteca jQuery-UI

jQuery-UI A versão 1.13.1 da biblioteca do tem uma vulnerabilidade de segurança conhecida (CVE-2022-31160) que afeta várias versões do Adobe Commerce e do Magento Open Source. Esta biblioteca é uma dependência do Adobe Commerce e do Magento Open Source 2.4.4, 2.4.5 e 2.4.6. Os comerciantes que executam implantações afetadas devem aplicar o patch especificado no Correção CVE-2022-31160 de vulnerabilidade de segurança da interface do jQuery para versões 2.4.4, 2.4.5 e 2.4.6 Artigo da knowledge base.

2.4.4-p4

A versão de segurança 2.4.4-p4 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança e atualizações de plataforma para melhorar a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB23-35.

Aplicar patch para resolver a vulnerabilidade de segurança CVE-2022-31160 na biblioteca jQuery-UI

jQuery-UI A versão 1.13.1 da biblioteca do tem uma vulnerabilidade de segurança conhecida (CVE-2022-31160) que afeta várias versões do Adobe Commerce e do Magento Open Source. Esta biblioteca é uma dependência do Adobe Commerce e do Magento Open Source 2.4.4, 2.4.5 e 2.4.6. Os comerciantes que executam implantações afetadas devem aplicar o patch especificado no Correção CVE-2022-31160 de vulnerabilidade de segurança da interface do jQuery para versões 2.4.4, 2.4.5 e 2.4.6 Artigo da knowledge base.

Realce de segurança

O comportamento padrão do isEmailAvailable consulta do GraphQL e (V1/customers/isEmailAvailable) O endpoint REST foi alterado. Por padrão, a API agora sempre retorna true. Os comerciantes podem habilitar o comportamento original, que é retornar true se o email não existir no banco de dados e false se existir.

Atualizações da plataforma

As atualizações de plataforma para esta versão melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

  • Suporte ao cache vernish 7.3. Esta versão é compatível com a versão mais recente do Varnish Cache 7.3. A compatibilidade permanece com as versões 6.0.x e 7u.2.x, mas a Adobe recomenda usar o Adobe Commerce 2.4.4-p4 somente com o Cache de Varnish versão 7.3 ou versão 6.0 LTS.

  • Suporte ao RabbitMQ 3.11. Esta versão é compatível com a versão mais recente do RabbitMQ 3.11. A compatibilidade permanece com o RabbitMQ 3.9, compatível até agosto de 2023, mas o Adobe recomenda usar o Adobe Commerce 2.4.4-p4 somente com o RabbitMQ 3.11.

  • Bibliotecas de JavaScript do. As bibliotecas JavaScript desatualizadas foram atualizadas para as versões secundárias ou de patch mais recentes, incluindo moment.js biblioteca (v2.29.4), jQuery UI biblioteca (v1.13.2), e jQuery biblioteca de plug-in de validação (v1.19.5).

2.4.4-p3

A versão de segurança 2.4.4-p3 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB23-17.

2.4.4-p2

A versão de segurança 2.4.4-p2 do Adobe Commerce fornece correções para vulnerabilidades identificadas em versões anteriores. Uma correção inclui a criação de uma nova definição de configuração. A variável Exigir confirmação por email se o email tiver sido alterado a configuração do permite que os administradores exijam a confirmação por email quando um usuário administrador alterar seu endereço de email.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe APSB22-48.

Aplique o AC-3022.patch para continuar oferecendo a DHL como transportadora

A DHL apresentou o schema versão 6.2 e descontinuará o schema versão 6.0 em breve. Adobe Commerce 2.4.4 e versões anteriores que suportam a integração DHL suportam apenas a versão 6.0. Os comerciantes que implantarem essas versões devem aplicar AC-3022.patch continuar a oferecer a DHL como transportadora. Consulte a Aplique um patch para continuar oferecendo a DHL como transportadora Artigo da Base de conhecimento para obter informações sobre como baixar e instalar o patch.

2.4.4-p1

A versão de segurança 2.4.4-p1 do Adobe Commerce fornece correções para vulnerabilidades identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança para melhorar a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte Boletim de segurança do Adobe.t

Aplicar AC-3022.patch continuar a oferecer a DHL como transportadora

A DHL apresentou o schema versão 6.2 e descontinuará o schema versão 6.0 em breve. Adobe Commerce 2.4.4 e versões anteriores que suportam a integração DHL suportam apenas a versão 6.0. Os comerciantes que implantarem essas versões devem aplicar AC-3022.patch continuar a oferecer a DHL como transportadora. Consulte a Aplique um patch para continuar oferecendo a DHL como transportadora Artigo da Base de conhecimento para obter informações sobre como baixar e instalar o patch.

Destaques da segurança

Os aprimoramentos de segurança desta versão melhoram a conformidade com as práticas recomendadas de segurança mais recentes, incluindo:

  • Os recursos de ACL foram adicionados ao Inventário.
  • A segurança do modelo de estoque foi aprimorada.

Problemas conhecidos

Problema: os testes de API da Web e integração exibem esse erro quando executados no pacote 2.4.4-p1: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69. Solução alternativa: instale a versão anterior do Monolog executando o require monolog/monolog:2.6.0 comando.

Problema: os comerciantes podem notar avisos de downgrade de versão do pacote durante uma atualização do Adobe Commerce 2.4.4 para o Adobe Commerce 2.4.4-p1. Essas mensagens podem ser ignoradas. A discrepância nas versões do pacote resulta de anomalias durante a geração do pacote. Nenhuma funcionalidade do produto foi afetada. Consulte a Pacotes rebaixados após a atualização de 2.4.4 para 2.4.4-p1 Artigo da Base de conhecimento para uma discussão sobre cenários afetados e soluções alternativas.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f