Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.3

Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:

  • Säkerhetsfelkorrigeringar
  • Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
  • Kända fel
  • Instruktioner för att vid behov lägga till ytterligare patchar
  • Information om eventuella snabbkorrigeringar i releasen

Läs mer om säkerhetsuppdateringar:

Adobe Commerce 2.4.3-p3

Säkerhetsutgåvan av Adobe Commerce 2.4.3-p3 innehåller säkerhetsfixar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.3. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns på Adobe säkerhetsbulletin APSB22-38.

Använd AC-3022.patch fortsätta erbjuda DHL som fraktfirma

DHL har introducerat schemaversion 6.2 och kommer inom kort att föråldra schemaversion 6.0. Adobe Commerce 2.4.4 och tidigare versioner som stöder DHL-integration stöder endast version 6.0. Handlare som distribuerar dessa versioner bör tillämpa AC-3022.patch så snart det går att fortsätta erbjuda DHL som fraktfirma. Se Använd en patch för att fortsätta erbjuda DHL som fraktfirma Kunskapsbasartikeln innehåller information om hur du hämtar och installerar korrigeringen.

Viktiga säkerhetsfunktioner

  • ACL-resurser har lagts till i inventeringen.
  • Säkerheten för lagermallar har förbättrats.

Adobe Commerce 2.4.3-p2

Säkerhetsutgåvan av Adobe Commerce 2.4.3-p2 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns på Adobe säkerhetsbulletin APSB22-13. Patchen åtgärdar också sårbarheten som åtgärdas av MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip,MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patchoch MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.

Använd AC-3022.patch fortsätta erbjuda DHL som fraktfirma

DHL har introducerat schemaversion 6.2 och kommer inom kort att föråldra schemaversion 6.0. Adobe Commerce 2.4.4 och tidigare versioner som stöder DHL-integration stöder endast version 6.0. Handlare som distribuerar dessa versioner bör tillämpa AC-3022.patch så snart det går att fortsätta erbjuda DHL som fraktfirma. Se Använd en patch för att fortsätta erbjuda DHL som fraktfirma Kunskapsbasartikeln innehåller information om hur du hämtar och installerar korrigeringen.

Viktiga säkerhetsfunktioner

  • Användning av variabla e-postmeddelanden har ersatts i 2.3.4 som en del av en säkerhetsriskreducering till förmån för en mer strikt variabelsyntax. Detta beteende har i den här versionen helt tagits bort som en fortsättning på den riskreduceringen.

    Det innebär att e-post- och nyhetsbrevmallar som fungerade i tidigare versioner kanske inte fungerar som de ska när du uppgraderar till Adobe Commerce 2.4.3-p2. De mallar som påverkas är bland annat adminåsidosättningar, teman, underordnade teman och mallar från anpassade moduler eller tillägg från tredje part. Distributionen kan fortfarande påverkas även efter att du har använt Kompatibilitetsverktyg för uppgradering för att korrigera inaktuella användningar. Se Migrera anpassade e-postmallar om du vill ha information om potentiella effekter och riktlinjer för migrering av berörda mallar.

  • OAuth-åtkomsttokens och token för lösenordsåterställning krypteras nu när de lagras i databasen.

  • Valideringen har stärkts för att förhindra överföring av icke-alfanumeriska filtillägg.

  • Swagger är nu inaktiverat som standard när Adobe Commerce är i produktionsläge.

  • Utvecklare kan nu konfigurera storleksgränsen för matriser som accepteras av Adobe Commerce RESTful-slutpunkter per slutpunkt. Se API-säkerhet.

  • Mekanismer har lagts till för att begränsa storleken och antalet resurser som en användare kan begära via ett webb-API på systemnivå och för att åsidosätta standardvärdena för enskilda moduler. Den här förbättringen åtgärdar problemet som åtgärdas i MC-43048__set_rate_limits__2.4.3.patch. Se API-säkerhet.

2.4.3-p1

Säkerhetsutgåvan av Adobe Commerce 2.4.3-p1 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i den tidigare utgåvan (Adobe Commerce 2.4.3 och Magento Open Source 2.4.3). Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns på Adobe säkerhetsbulletin APSB21-86. Korrigeringsversionen innehåller även felkorrigeringar för Braintree, Klarnaoch Hörn leverantörsutvecklade tillägg.

Använd AC-3022.patch fortsätta erbjuda DHL som fraktfirma

DHL har introducerat schemaversion 6.2 och kommer inom kort att föråldra schemaversion 6.0. Adobe Commerce 2.4.4 och tidigare versioner som stöder DHL-integration stöder endast version 6.0. Handlare som distribuerar dessa versioner bör tillämpa AC-3022.patch så snart det går att fortsätta erbjuda DHL som fraktfirma. Se Använd en patch för att fortsätta erbjuda DHL som fraktfirma Kunskapsbasartikeln innehåller information om hur du hämtar och installerar korrigeringen.

Programfixar

Den här versionen innehåller följande snabbkorrigering och alla snabbkorrigeringar som har släppts för den föregående korrigeringsversionen.

Viktiga säkerhetsfunktioner

Sessions-ID har tagits bort från databasen. Den här kodändringen kan leda till att ändringar bryts om handlarna har anpassningar eller installerade tillägg som använder de rå sessions-ID:n som lagras i databasen.

Åtkomst till mediegalleriets mappar begränsas av administratörer. Standardbehörigheter i Mediegalleriet tillåter nu endast katalogåtgärder (visa, ladda upp, ta bort och skapa) som tillåts uttryckligen av konfigurationen. Administratörsanvändare har inte längre åtkomst till medieresurser via mediegalleriet som har överförts utanför catalog/category eller wysiwyg kataloger. Administratörer som vill komma åt medieresurser måste flytta dem till en uttryckligen tillåten mapp eller justera sina konfigurationsinställningar. Se Ändra behörigheter för Media Library-mappar.

Lägre gränser för komplexiteten i GraphQL-frågor. GraphQL största tillåtna komplexitet för frågor har sänkts för att förhindra DOS-attacker. Se GraphQL säkerhetskonfiguration.

Säkerhetsluckor vid senaste penetrationstest har korrigerats i den här versionen.

Källuttrycket stöds inte unsafe-inline har tagits bort från skyddsprofilen för innehåll frame-ancestors -direktivet. GitHub-33101

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f