Säkerhetsuppdatering för Adobe Commerce - APSB24-40

NOTE
**Det här är en brådskande uppdatering relaterad till CVE-2024-34102. Adobe är medveten om att CVE-2024-34102 har utnyttjats i mycket begränsade attacker mot Adobe Commerce handlare.

Den 17 juli 2024 släppte vi en hotfix förutom säkerhetsuppdateringen den 11 juni 2024 och/eller den isolerade korrigeringen som släpptes den 28 juni 2024.

Kontrollera alla produktions- och icke-produktionsmiljöer för att se till att din butik är fullständigt lagrad på alla instanser. Ta omedelbar åtgärd för att lösa problemet.

NOTE
Endast för Adobe Commerce på molnhandlare:

1. Kontrollera att du har den senaste versionen av ECE Tools. Om du inte gör det, uppgradera (eller hoppa till punkt 2). Kör följande kommando för att kontrollera din befintliga version:composer show magento/ece-tools
2. Om du redan har den senaste versionen av ECE Tools kontrollerar du om filen op-exclude.txt finns. Om du vill göra det kör du det här kommandot:ls op-exclude.txt.Om filen inte finns lägger du till https://github.com/magento/magento-cloud/blob/master/op-exclude.txt i ditt svar och utför sedan ändringen och distribuerar om.
3. Om du inte behöver uppgradera ECE Tools kan du även lägga till/ändra https://github.com/magento/magento-cloud/blob/master/op-exclude.txt i ditt svar och sedan genomföra ändringen och omdistribuera den.

Alternativ 1 - För handlare som inte tillämpade säkerhetsuppdateringen från 11 juni 2024 eller den isolerade korrigeringen som släpptes 28 juni 2024

  1. Använd hotfix som släpptes 17 juli 2024.
  2. Använd säkerhetsuppdateringen.
  3. Aktivera maintenance mode.
  4. Inaktivera körning av cron (Commerce på molnet, kommando: vendor/bin/ece-tools cron:disable).
  5. Rotera encryption keys.
  6. Töm cacheminnet.
  7. Aktivera körning av cron (Commerce i molnet, kommando: vendor/bin/ece-tools cron:enable).
  8. Inaktivera maintenance mode.

ELLER

  1. Använd det isolerade plåstret. OBS!: Den här versionen av den isolerade korrigeringen innehåller den 17 juli 2024, hotfix som ingår.
  2. Aktivera maintenance mode.
  3. Inaktivera körning av cron (Commerce på molnet, kommando: vendor/bin/ece-tools cron:disable).
  4. Rotera encryption keys.
  5. Töm cacheminnet.
  6. Aktivera körning av cron (Commerce i molnet, kommando: vendor/bin/ece-tools cron:enable).
  7. Inaktivera maintenance mode.

Alternativ 2 - För handlare som redan tillämpade säkerhetsuppdateringen från den 11 juni 2024 och/eller den isolerade korrigeringen som släpptes den 28 juni 2024

  1. Använd hotfix som släpptes 17 juli 2024.
  2. Aktivera maintenance mode.
  3. Inaktivera körning av cron (Commerce på molnet, kommando: vendor/bin/ece-tools cron:disable).
  4. Rotera encryption keys.
  5. Töm cacheminnet.
  6. Aktivera körning av cron (Commerce i molnet, kommando: vendor/bin/ece-tools cron:enable).
  7. Inaktivera maintenance mode.

Alternativ 3 - För handlare som har redan (1) tillämpat säkerhetsuppdateringen från 11 juni 2024 och/eller (2) den isolerade korrigeringen som släpptes 28 juni 2024 och (3) roterade dina krypteringsnycklar

NOTE
För att vara säker efter uppgraderingen måste du också rotera encryption keys:

1. Aktivera maintenance mode.
2. Inaktivera körning av cron (Commerce på molnet, kommando: vendor/bin/ece-tools cron:disable).
3. Rotera encryption keys.
4. Aktivera körning av cron (Commerce i molnet, kommando: vendor/bin/ece-tools cron:enable).
5. Inaktivera maintenance mode.

I den här artikeln beskrivs hur du implementerar den isolerade korrigeringen för det här problemet för aktuella och tidigare versioner av Adobe Commerce och Magento Open Source.
OBS!: Den här versionen av den isolerade korrigeringen innehåller den 17 juli 2024, hotfix som ingår.

Berörda produkter och versioner

Adobe Commerce i molnet, Adobe Commerce på plats och Magento Open Source:

  • 2.4.7-p1 och tidigare versioner
  • 2.4.6-p6 och tidigare
  • 2.4.5-p8 och tidigare
  • 2.4.4-p9 och tidigare

Lösning för Adobe Commerce i molnet, Adobe Commerce On-Local Software och Magento Open Source

För att åtgärda säkerhetsluckan för de berörda produkterna och versionerna måste du tillämpa VULN-27015-korrigeringen (beroende på vilken version du har) och rotera encryption keys.

Information om hotfix hotfix

Information om isolerad lagning

OBS!: Den här versionen av den isolerade korrigeringen innehåller den 17 juli 2024, hotfix som ingår.

Använd följande bifogade patchar, beroende på vilken version av Adobe Commerce/Magento Open Source du använder:

För version 2.4.7, 2.4.7-p1:

För version 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6:

För version 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8:

För version 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9:

Så här använder du den isolerade korrigeringen och hotfix

Zippa upp filen och se Använda en kompositkorrigering från Adobe i vår kunskapsbas för support för instruktioner.

Endast för Adobe Commerce på molnhandlare - Hur du ser om de isolerade korrigeringarna har tillämpats

Eftersom det inte är enkelt att kontrollera om problemet har åtgärdats, kanske du vill kontrollera om den isolerade korrigeringen VULN-27015 har tillämpats.

Du kan göra detta genom att utföra följande steg, med filen VULN-27015-2.4.7_COMPOSER.patch som exempel:

  1. Installera verktyget för kvalitetskorrigeringar.

  2. Kör kommandot:

    cve-2024-34102-tell-if-patch-applied-code

  3. Du bör se utdata som liknar detta, där VULN-27015 returnerar statusen Används:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Rotera/ändra encryption key efter att du har använt korrigeringen

Säkerhetsuppdateringar

Säkerhetsuppdateringar för Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a