Säkerhetsuppdatering för Adobe Commerce - APSB24-40

Obs!: **Det här är en brådskande uppdatering för CVE-2024-34102. Adobe är medvetna om att CVE-2024-34102 har utnyttjats i mycket begränsade attacker mot Adobe Commerce handlare.

Den 17 juli 2024 släppte vi en snabbkorrigering utöver säkerhetsuppdateringen den 11 juni 2024 och/eller den isolerade programfixen som släpptes den 28 juni 2024.

Kontrollera alla produktions- och icke-produktionsmiljöer för att se till att din butik är fullständigt lagrad på alla instanser. Åtgärda problemet omedelbart.

Obs!: Endast för Adobe Commerce på molnhandlare:

  1. Se till att du har den senaste versionen av ECE Tools. Om du inte gör det, uppgradera (eller hoppa till punkt 2). Kör följande kommando om du vill kontrollera din befintliga version: composer show magento/ece-tools
  2. Om du redan använder den senaste versionen av ECE-verktyg kontrollerar du om filen op-exclude.txt finns. Gör det genom att köra följande kommando: ls op-exclude.txt. Om den här filen inte finns lägger du till https://github.com/magento/magento-cloud/blob/master/op-exclude.txt i svaret och implementerar sedan ändringen och distribuerar om.
  3. Utan att behöva uppgradera ECE-verktygen kan du även lägga till/ändra https://github.com/magento/magento-cloud/blob/master/op-exclude.txt i ditt svar och sedan genomföra ändringen och omdistribuera.

Alternativ 1 - För handlare som inte har tillämpat säkerhetsuppdateringen från 11 juni 2024 eller den isolerade korrigeringen som släpptes 28 juni 2024

  1. Använd snabbkorrigering som släpptes 17 juli 2024.
  2. Använd säkerhetsuppdateringen.
  3. Aktivera underhållsläge.
  4. Inaktivera körning av cron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:disable).
  5. Rotera dina krypteringsnycklar.
  6. Töm cacheminnet.
  7. Aktivera körning av kron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:enable).
  8. Inaktivera underhållsläge.

ELLER

  1. Använd det isolerade plåstret. Obs!: Den här versionen av den isolerade korrigeringen innehåller snabbkorrigeringen 17 juli 2024.
  2. Aktivera underhållsläge.
  3. Inaktivera körning av cron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:disable).
  4. Rotera dina krypteringsnycklar.
  5. Töm cacheminnet.
  6. Aktivera körning av kron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:enable).
  7. Inaktivera underhållsläge.

Alternativ 2 - För handlare som redan har tillämpat säkerhetsuppdateringen från den 11 juni 2024 och/eller den isolerade korrigeringen som släpptes den 28 juni 2024

  1. Använd snabbkorrigering som släpptes 17 juli 2024.
  2. Aktivera underhållsläge.
  3. Inaktivera körning av cron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:disable).
  4. Rotera dina krypteringsnycklar.
  5. Töm cacheminnet.
  6. Aktivera körning av kron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:enable).
  7. Inaktivera underhållsläge.

Alternativ 3 - För handlare som redan (1) tillämpade säkerhetsuppdateringen från 11 juni 2024 och/eller (2) den isolerade korrigeringen som släpptes 28 juni 2024 och (3) roterade dina krypteringsnycklar

Obs! Om du vill vara säker efter uppgraderingen måste du också rotera dina krypteringsnycklar:

  1. Aktivera underhållsläge.
  2. Inaktivera körning av cron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:disable).
  3. Rotera krypteringsnycklarna.
  4. Aktivera körning av kron (Commerce på molnet-kommando: vendor/bin/ece-tools cron:enable).
  5. Inaktivera underhållsläge.

I den här artikeln beskrivs hur du implementerar den isolerade korrigeringen för det här problemet för aktuella och tidigare versioner av Adobe Commerce och Magento Open Source.

Obs!: Den här versionen av den isolerade korrigeringen innehåller snabbkorrigeringen 17 juli 2024.

Beskrivning description

Berörda produkter och versioner

Adobe Commerce i molnet, Adobe Commerce lokalt och Magento Open Source:

  • 2.4.7-p1 och tidigare versioner
  • 2.4.6-p6 och tidigare
  • 2.4.5-p8 och tidigare
  • 2.4.4-p9 och tidigare

Upplösning resolution

Lösning för Adobe Commerce i molnet, Adobe Commerce On-Local Software och Magento Open Source

För att åtgärda säkerhetsluckan för de berörda produkterna och versionerna måste du installera korrigeringsfilen VULN-27015 (beroende på version) och rotera krypteringsnycklarna.

Information om hotfix

Information om isolerad lagning

Obs!: Den här versionen av den isolerade korrigeringen innehåller snabbkorrigeringen 17 juli 2024.

Använd följande bifogade patchar, beroende på vilken version av Adobe Commerce/Magento Open Source du har:

För version 2.4.7:

För version 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

För version 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

För version 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Tillämpa den isolerade korrigeringen och snabbkorrigeringen

Zippa upp filen och se Använda en kompositkorrigering från Adobe i vår kunskapsbas för support för instruktioner.

Endast för Adobe Commerce på molnhandlare - Hur du ser om de isolerade korrigeringarna har tillämpats

Eftersom det inte är enkelt att kontrollera om problemet har åtgärdats, kanske du vill kontrollera om den isolerade korrigeringsfilen VULN-27015 har implementerats.

Du kan göra detta genom att utföra följande steg och använda filen VULN-27015-2.4.7_COMPOSER.patch som exempel:

  1. Installera kvalitetsuppdateringsverktyget.

  2. Kör kommandot: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. Du bör se utdata som liknar detta, där VULN-27015 returnerar   Status för:

    table 0-row-6 1-row-6
    ID Titel Kategori Ursprung Status Information
    N/A …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Övriga Lokal Används Lappningstyp: Anpassad

Rotera/ändra krypteringsnyckeln när du har tillämpat korrigeringen

Mer information om hur du roterar/ändrar krypteringsnyckeln när du har tillämpat korrigeringen finns i Administratörssystemguide: Krypteringsnyckel i dokumentationen för Commerce Admin Systems Guide.

Mer information om hur du skyddar din butik och roterar krypteringsnycklar

Mer information om hur du skyddar din butik och roterar krypteringsnycklar för CVE-2024-34102 finns i Vägledning om hur du skyddar din butik och roterar krypteringsnycklar: CVE-2024-34102, även i Adobe Commerce kunskapsbas.

Säkerhetsuppdateringar

Säkerhetsuppdateringar för Adobe Commerce:

Relaterad läsning

Aktivera eller inaktivera underhållsläge i Adobe Commerce installationsguide

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f