Säkerhetsuppdatering för Adobe Commerce - APSB24-40
Den 17 juli 2024 släppte vi en hotfix förutom säkerhetsuppdateringen den 11 juni 2024 och/eller den isolerade korrigeringen som släpptes den 28 juni 2024.
Kontrollera alla produktions- och icke-produktionsmiljöer för att se till att din butik är fullständigt lagrad på alla instanser. Ta omedelbar åtgärd för att lösa problemet.
1. Kontrollera att du har den senaste versionen av ECE Tools. Om du inte gör det, uppgradera (eller hoppa till punkt 2). Kör följande kommando för att kontrollera din befintliga version:
composer show magento/ece-tools2. Om du redan har den senaste versionen av ECE Tools kontrollerar du om filen
op-exclude.txt finns. Om du vill göra det kör du det här kommandot:ls op-exclude.txt.Om filen inte finns lägger du till https://github.com/magento/magento-cloud/blob/master/op-exclude.txt i ditt svar och utför sedan ändringen och distribuerar om.3. Om du inte behöver uppgradera ECE Tools kan du även lägga till/ändra https://github.com/magento/magento-cloud/blob/master/op-exclude.txt i ditt svar och sedan genomföra ändringen och omdistribuera den.
Alternativ 1 - För handlare som inte tillämpade säkerhetsuppdateringen från 11 juni 2024 eller den isolerade korrigeringen som släpptes 28 juni 2024
- Använd hotfix som släpptes 17 juli 2024.
- Använd säkerhetsuppdateringen.
- Aktivera maintenance mode.
- Inaktivera körning av cron (Commerce på molnet, kommando:
vendor/bin/ece-tools cron:disable). - Rotera encryption keys.
- Töm cacheminnet.
- Aktivera körning av cron (Commerce i molnet, kommando:
vendor/bin/ece-tools cron:enable). - Inaktivera maintenance mode.
ELLER
- Använd det isolerade plåstret. OBS!: Den här versionen av den isolerade korrigeringen innehåller den 17 juli 2024, hotfix som ingår.
- Aktivera maintenance mode.
- Inaktivera körning av cron (Commerce på molnet, kommando:
vendor/bin/ece-tools cron:disable). - Rotera encryption keys.
- Töm cacheminnet.
- Aktivera körning av cron (Commerce i molnet, kommando:
vendor/bin/ece-tools cron:enable). - Inaktivera maintenance mode.
Alternativ 2 - För handlare som redan tillämpade säkerhetsuppdateringen från den 11 juni 2024 och/eller den isolerade korrigeringen som släpptes den 28 juni 2024
- Använd hotfix som släpptes 17 juli 2024.
- Aktivera maintenance mode.
- Inaktivera körning av cron (Commerce på molnet, kommando:
vendor/bin/ece-tools cron:disable). - Rotera encryption keys.
- Töm cacheminnet.
- Aktivera körning av cron (Commerce i molnet, kommando:
vendor/bin/ece-tools cron:enable). - Inaktivera maintenance mode.
Alternativ 3 - För handlare som har redan (1) tillämpat säkerhetsuppdateringen från 11 juni 2024 och/eller (2) den isolerade korrigeringen som släpptes 28 juni 2024 och (3) roterade dina krypteringsnycklar
- Använd den snabbkorrigering som släpptes 17 juli 2024.
1. Aktivera maintenance mode.
2. Inaktivera körning av cron (Commerce på molnet, kommando:
vendor/bin/ece-tools cron:disable).3. Rotera encryption keys.
4. Aktivera körning av cron (Commerce i molnet, kommando:
vendor/bin/ece-tools cron:enable).5. Inaktivera maintenance mode.
I den här artikeln beskrivs hur du implementerar den isolerade korrigeringen för det här problemet för aktuella och tidigare versioner av Adobe Commerce och Magento Open Source.
OBS!: Den här versionen av den isolerade korrigeringen innehåller den 17 juli 2024, hotfix som ingår.
Berörda produkter och versioner
Adobe Commerce i molnet, Adobe Commerce på plats och Magento Open Source:
- 2.4.7-p1 och tidigare versioner
- 2.4.6-p6 och tidigare
- 2.4.5-p8 och tidigare
- 2.4.4-p9 och tidigare
Lösning för Adobe Commerce i molnet, Adobe Commerce On-Local Software och Magento Open Source
För att åtgärda säkerhetsluckan för de berörda produkterna och versionerna måste du tillämpa VULN-27015-korrigeringen (beroende på vilken version du har) och rotera encryption keys.
Information om hotfix hotfix
- Hämta Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
Information om isolerad lagning
OBS!: Den här versionen av den isolerade korrigeringen innehåller den 17 juli 2024, hotfix som ingår.
Använd följande bifogade patchar, beroende på vilken version av Adobe Commerce/Magento Open Source du använder:
För version 2.4.7:
För version 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:
För version 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:
För version 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:
Så här använder du den isolerade korrigeringen och hotfix
Zippa upp filen och se Använda en kompositkorrigering från Adobe i vår kunskapsbas för support för instruktioner.
Endast för Adobe Commerce på molnhandlare - Hur du ser om de isolerade korrigeringarna har tillämpats
Eftersom det inte är enkelt att kontrollera om problemet har åtgärdats, kanske du vill kontrollera om den isolerade korrigeringen VULN-27015 har tillämpats.
Du kan göra detta genom att utföra följande steg, med filen VULN-27015-2.4.7_COMPOSER.patch som exempel:
-
Kör kommandot:
-
Du bör se utdata som liknar detta, där VULN-27015 returnerar statusen Används:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Rotera/ändra encryption key efter att du har använt korrigeringen
Vägledning om hur du roterar/ändrar encryption key efter att du har tillämpat korrigeringen finns i Administratörssystemguiden: Encryption key i dokumentationen för Commerce Admin Systems Guide.
Mer information om hur du skyddar din butik och roterar krypteringsnycklar
Mer information om hur du skyddar din butik och roterar krypteringsnycklar för CVE-2024-34102 finns i Vägledning om hur du skyddar din butik och roterar krypteringsnycklar: CVE-2024-34102, även i Adobe Commerce Knowledge Base.
Säkerhetsuppdateringar
Säkerhetsuppdateringar för Adobe Commerce:
Relaterad läsning
Aktivera eller inaktivera maintenance mode i Adobe Commerce installationshandbok