Documentação Commerce Informações da versão

Notas de versão de patches de segurança do Adobe Commerce 2.4.6

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Tópicos:

Criado para:

Experiente
Administrador
Desenvolvedor

Essas notas de versão de patch de segurança capturam atualizações para aprimorar a segurança da implantação do Adobe Commerce. As informações incluem, entre outras, as seguintes:

Correções de erros de segurança
Destaques de segurança que fornecem mais detalhes sobre as melhorias e atualizações incluídas no patch de segurança
Problemas conhecidos
Instruções para aplicar patches adicionais, se necessário
Informações sobre hot fixes incluídos na versão

Saiba mais sobre lançamentos de patch de segurança:

Visão geral das versões de correção do Adobe Commerce Security
As instruções para baixar e aplicar versões de patch de segurança estão disponíveis no Guia de Atualização

2.4.6-p8

A versão de segurança do Adobe Commerce 2.4.6-p8 fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores do 2.4.6.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB24-73.

NOTE

Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

Destaques

Esta versão inclui os seguintes destaques:

Atualização do TinyMCE—O editor do WYSIWYG no Administrador agora usa a versão mais recente da dependência do TinyMCE (7.3).
- O TinyMCE 7.3 oferece uma experiência de usuário aprimorada, melhor colaboração e maior eficiência. O TinyMCE 5 foi removido da linha da versão 2.4.8
- Como havia uma vulnerabilidade de segurança (CVE-2024-38357) relatada no TinyMCE 5.10, a dependência também foi atualizada para todas as linhas de versão atualmente com suporte e incluídas em todos os patches de segurança de outubro de 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2.4.5-p10
  - 2.4.4-p11
Atualização do Require.js—O Adobe Commerce agora usa a versão mais recente do Require.js (2.3.7).
- Como havia uma vulnerabilidade de segurança (CVE-2024-38999) relatada no Require.js 2.3.6, a dependência também foi atualizada para todas as linhas de versão atualmente com suporte e incluída em todos os patches de segurança de outubro de 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2.4.5-p10
  - 2.4.4-p11

NOTE

Essas atualizações são compatíveis com versões anteriores e não devem afetar personalizações e extensões.

Hotfixes incluídos nesta versão

Esta versão inclui uma correção para resolver um problema com o gateway de pagamento Braintree.

O sistema agora inclui os campos necessários para atender aos requisitos de autorização do 3DS VISA ao usar o Braintree como gateway de pagamento. Isso garante que todas as transações cumpram com as mais recentes normas de segurança definidas pela VISA. Anteriormente, esses campos adicionais não eram incluídos nas informações de pagamento enviadas, o que poderia ter levado ao não cumprimento dos novos requisitos de VISTO.

2.4.6-p7

A versão de segurança do Adobe Commerce 2.4.6-p7 fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores do 2.4.6.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB24-61.

Destaques

Esta versão inclui os seguintes destaques:

Limitação de taxa paraone-time passwords—As novas opções de configuração do sistema a seguir estão disponíveis para habilitar a limitação de taxa na validação two-factor authentication (2FA) one-time password (OTP):
- Limite de novas tentativas para Autenticação de Dois Fatores
- Tempo de bloqueio da Autenticação de Dois Fatores (segundos)
O Adobe aconselha a definição de um limite para validação OTP 2FA para limitar o número de tentativas de mitigar ataques de força bruta. Consulte Segurança > 2FA no Guia de Referência de Configuração para obter mais informações.
Rotação de chave de criptografia—Um novo comando da CLI agora está disponível para alterar sua chave de criptografia. Consulte o artigo da Base de Dados de Conhecimento Solução de Problemas de Rotação de Chaves de Criptografia: CVE-2024-34102 para obter detalhes.
Correção para CVE-2020-27511—Resolve uma vulnerabilidade de segurança Prototype.js.
Correção para CVE-2024-39397—Resolve uma vulnerabilidade de segurança na execução remota de código. Essa vulnerabilidade afeta os comerciantes que usam o servidor Web Apache para implantações locais ou auto-hospedadas. Essa correção também está disponível como um patch isolado. Consulte o artigo Atualização de segurança disponível para o Adobe Commerce - APSB24-61 Knowledge Base para obter detalhes.

Hotfixes incluídos nesta versão

Esta versão do inclui os seguintes hotfixes:

Correção para resolver um erro de JavaScript que impedia o Google Maps de ser renderizado corretamente no editor do PageBuilder. Consulte o artigo Patches revisados para perda de acesso ao Google Maps em todas as versões do Adobe Commerce para obter detalhes.
Hotfix para resolver um problema de validação de JSON web token (JWT) relacionado ao CVE-2024-34102. Consulte o artigo Atualização de segurança disponível para a Base de Dados de Conhecimento Adobe Commerce-APSB24-40 para obter detalhes.

2.4.6-p6

A versão de segurança 2.4.6-p6 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.6.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB24-40.

Para compatibilidade com a versão 2.4.6-p6 do Commerce, os comerciantes que têm a extensão B2B do Adobe Commerce devem atualizar para a versão 1.4.2-p1🔗 do B2B2B.

Aplicar hotfix para CVE-2024-34102

IMPORTANT

Esta é uma atualização urgente para nossa última comunicação sobre o CVE-2024-34102. A Adobe está ciente de que o CVE-2024-34102 foi explorado na natureza em ataques muito limitados que visam os comerciantes da Adobe Commerce. Tome medidas imediatas para resolver a vulnerabilidade, se ainda não tiver feito isso.

Para clientes que não aplicaram o patch de segurança lançado em 11 de junho de 2024 ou o patch isolado lançado em 28 de junho de 2024:

Opção 1:

Aplique um dos patches de segurança lançados em 11 de junho de 2024:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Aplique o hotfix lançado em 17 de julho de 2024.
Girar chaves de criptografia.

Opção 2:

Aplicar o patch isolado.
Girar chaves de criptografia.

Para clientes que já aplicaram um patch de segurança lançado em 11 de junho de 2024 ou o patch isolado lançado em 28 de junho de 2024:

Aplique o hotfix lançado em 17 de julho de 2024.
Girar chaves de criptografia.

Para clientes que já tenham 1) aplicado um patch de segurança lançado em 11 de junho de 2024 ou 2) o patch isolado lançado em 28 de junho de 2024 e 3) girado suas chaves de criptografia:

Aplique o hotfix lançado em 17 de julho de 2024.

Para compatibilidade com a versão 2.4.6-p6 do Commerce, os comerciantes que têm a extensão B2B do Adobe Commerce devem atualizar para a versão 1.4.2-p1🔗 do B2B2B.

Destaques

Suporte para SRI (Integridade de Sub-Recursos) adicionado para atender aos requisitos da PCI 4.0 para verificação de integridade de script em páginas de pagamento. O suporte à Integridade de sub-recursos (SRI) fornece hashes de integridade para todos os ativos do JavaScript que residem no sistema de arquivos local. O recurso SRI padrão é implementado apenas nas páginas de pagamento para as áreas de Administração e vitrine eletrônica. No entanto, os comerciantes podem estender a configuração padrão para outras páginas. Consulte Integridade de sub-recursos no Guia do Desenvolvedor do Commerce PHP.

Alterações na Política de Segurança de Conteúdo (CSP)—Atualizações e aprimoramentos de configuração nas Políticas de Segurança de Conteúdo (CSPs) da Adobe Commerce para atender aos requisitos da PCI 4.0. Para obter detalhes, consulte Políticas de Segurança de Conteúdo no Guia do Desenvolvedor do Commerce PHP.

A configuração padrão da CSP para páginas de pagamento para o Administrador do Commerce e áreas de vitrine agora é o modo restrict. Para todas as outras páginas, a configuração padrão é o modo report-only. Nas versões anteriores à 2.4.7, o CSP foi configurado no modo report-only para todas as páginas.
Adição de um provedor nonce para permitir a execução de scripts integrados em uma CSP. O provedor nonce facilita a geração de cadeias de caracteres nonce exclusivas para cada solicitação. As cadeias de caracteres são anexadas ao cabeçalho da CSP.

Adição de opções para configurar URIs personalizados para relatar violações de CSP para a página Criar pedido no Admin e a página Check-out na loja. Você pode adicionar a configuração do Administrador ou adicionando o URI ao arquivo config.xml.

note note

note note
NOTE
Atualizar a configuração da CSP para o modo `restrict` pode bloquear scripts incorporados existentes nas páginas de pagamento na Administração e na loja, o que causa o seguinte erro do navegador quando uma página é carregada: `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src`. Corrija esses erros atualizando a configuração da lista de permissões para permitir os scripts necessários. Consulte Solução de problemas no Guia do Desenvolvedor do Commerce PHP.

NOTE

Atualizar a configuração da CSP para o modo restrict pode bloquear scripts incorporados existentes nas páginas de pagamento na Administração e na loja, o que causa o seguinte erro do navegador quando uma página é carregada: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Corrija esses erros atualizando a configuração da lista de permissões para permitir os scripts necessários. Consulte Solução de problemas no Guia do Desenvolvedor do Commerce PHP.

2.4.6-p5

A versão de segurança 2.4.6-p5 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores da 2.4.6.

Para obter as informações mais recentes sobre essas correções, consulte o Boletim de Segurança do Adobe APSB24-18.

2.4.6-p4

A versão de segurança 2.4.6-p4 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança que melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB24-03.

Destaques

Esta versão apresenta dois aprimoramentos significativos de segurança:

Alterações no comportamento de chaves de cache não geradas:
- As chaves de cache não geradas para blocos agora incluem prefixos que diferem dos prefixos para chaves geradas automaticamente. (As chaves de cache não geradas são chaves definidas por meio da sintaxe de diretiva de modelo ou pelos métodos setCacheKey ou setData.)
- As chaves de cache não geradas para blocos agora devem conter apenas letras, dígitos, hifens (-) e caracteres de sublinhado (_).
Limitações sobre o número de códigos de cupom gerados automaticamente. O Commerce agora limita o número de códigos de cupom gerados automaticamente. O máximo padrão é 250.000. Os comerciantes podem usar a nova opção de configuração Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) para controlar esse novo limite.

2.4.6-p3

A versão de segurança 2.4.6-p3 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança para melhorar a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de segurança, consulte o Boletim de Segurança do Adobe APSB23-50.

Destaques

Esta versão introduz uma nova definição de configuração de cache de página inteira que ajuda a reduzir os riscos associados ao ponto de extremidade {BASE-URL}/page_cache/block/esi HTTP. Esse endpoint oferece suporte a fragmentos de conteúdo irrestritos e carregados dinamicamente de manipuladores de layout e estruturas de bloco do Commerce. A nova definição de configuração Handles Param define o valor do parâmetro handles desse ponto de extremidade, que determina o número máximo permitido de identificadores por API. O valor padrão dessa propriedade é 100. Os comerciantes podem alterar este valor de Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

Hotfixes incluídos nesta versão

O Adobe Commerce 2.4.6-p3 inclui a resolução da degradação de desempenho corrigida pelo patch ACSD-51892. Os comerciantes não são afetados pelo problema tratado por esse patch, que é descrito no ACSD-51892: problema de desempenho em que os arquivos de configuração são carregados várias vezes artigo da Base de Dados de Conhecimento.

Problemas conhecidos

Problema: o Adobe Commerce exibe um erro wrong checksum durante o download pelo Composer a partir de repo.magento.com, e o download do pacote é interrompido. Esse problema pode ocorrer durante o download de pacotes de lançamento disponibilizados durante o período de pré-lançamento e é causado por um reempacotamento do pacote magento/module-page-cache.

Solução alternativa: os comerciantes que visualizarem este erro durante o download podem executar estas etapas:

Exclua o diretório /vendor dentro do projeto, se existir.
Execute o comando bin/magento composer update magento/module-page-cache. Este comando atualiza somente o pacote page cache.

Se o problema de soma de verificação persistir, remova o arquivo composer.lock antes de executar novamente o comando bin/magento composer update para atualizar cada pacote.

2.4.6-p2

A versão de segurança 2.4.6-p2 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores. Esta versão também oferece aprimoramentos de segurança para melhorar a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB23-42.

Aplicar hotfix para CVE-2022-31160

A biblioteca jQuery-UI versão 1.13.1 tem uma vulnerabilidade de segurança conhecida (CVE-2022-31160) que afeta várias versões do Adobe Commerce e do Magento Open Source. Esta biblioteca é uma dependência do Adobe Commerce e do Magento Open Source 2.4.4, 2.4.5 e 2.4.6. Os comerciantes que executam implantações afetadas devem aplicar o patch especificado no artigo da Base de Dados de Conhecimento vulnerabilidade de segurança da interface do usuário do jQuery CVE-2022-31160 para 2.4.4, 2.4.5 e 2.4.6 versões.

Destaques

O valor de fastcgi_pass no arquivo nginx.sample foi retornado ao seu valor anterior (pré-2.4.6-p1) de fastcgi_backend. Este valor foi alterado inadvertidamente para php-fpm:9000 no Adobe Commerce 2.4.6-p1.

Hotfixes incluídos nesta versão

O Adobe Commerce 2.4.6-p2 inclui a resolução da degradação do desempenho que foi abordada pelo patch ACSD-51892. Os comerciantes não são afetados pelo problema tratado por esse patch, que é descrito no ACSD-51892: problema de desempenho em que os arquivos de configuração são carregados várias vezes artigo da Base de Dados de Conhecimento.

2.4.6-p1

A versão de segurança 2.4.6-p1 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades que foram identificadas em versões anteriores. Esta versão também inclui aprimoramentos de segurança e atualizações de plataforma para melhorar a conformidade com as práticas recomendadas de segurança mais recentes.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança de Adobe APSB23-35.

Aplicar hotfix para CVE-2022-31160

A biblioteca jQuery-UI versão 1.13.1 tem uma vulnerabilidade de segurança conhecida (CVE-2022-31160) que afeta várias versões do Adobe Commerce e do Magento Open Source. Esta biblioteca é uma dependência do Adobe Commerce e do Magento Open Source 2.4.4, 2.4.5 e 2.4.6. Os comerciantes que executam implantações afetadas devem aplicar o patch especificado no artigo da Base de Dados de Conhecimento vulnerabilidade de segurança da interface de consulta CVE-2022-31160 para as versões 2.4.4, 2.4.5 e 2.4.6.

Realce

O comportamento padrão da consulta GraphQL isEmailAvailable e do ponto de extremidade REST V1/customers/isEmailAvailable foi alterado. Por padrão, a API agora sempre retorna true. Os comerciantes podem habilitar o comportamento original, que é retornar true se o email não existir no banco de dados e false se ele existir.

Atualizações da plataforma

As atualizações de plataforma para esta versão melhoram a conformidade com as práticas recomendadas de segurança mais recentes.

Suporte ao cache de verniz 7.3. Esta versão é compatível com a versão mais recente do Varnish Cache 7.3. A compatibilidade permanece com as versões 6.0.x e 7.2.x, mas o Adobe recomendou usar o Adobe Commerce 2.4.6-p1 somente com o Cache do Varnish versão 7.3 ou versão 6.0 LTS.
Suporte ao RabbitMQ 3.11. Esta versão é compatível com a versão mais recente do RabbitMQ 3.11. A compatibilidade permanece com o RabbitMQ 3.9, que é compatível até agosto de 2023, mas o Adobe recomendado usando o Adobe Commerce 2.4.6-p1 somente com o RabbitMQ 3.11.
Bibliotecas JavaScript. As bibliotecas JavaScript desatualizadas foram atualizadas para as versões secundárias ou de patch mais recentes, incluindo a biblioteca moment.js (v2.29.4), a biblioteca jQuery UI (v1.13.2) e a biblioteca de plug-in de validação jQuery (v1.19.5).

Problemas conhecidos

O arquivo nginx.sample foi atualizado inadvertidamente com uma alteração que modifica o valor de fastcgi_pass de fastcgi_backend para php-fpm:9000. Essa alteração pode ser revertida ou ignorada com segurança.

Dependências ausentes para o pacote de segurança B2B causam o seguinte erro de instalação ao instalar ou atualizar a extensão B2B para 1.4.0.

code language-none

code language-none
`Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.`

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

Esse problema pode ser resolvido adicionando dependências manuais para o pacote de segurança B2B com uma marca de estabilidade. Para obter detalhes, consulte as notas de versão B2B.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f