Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.4
Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:
- Säkerhetsfelkorrigeringar
- Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
- Kända fel
- Instruktioner för att vid behov lägga till ytterligare patchar
- Information om eventuella snabbkorrigeringar i releasen
Läs mer om säkerhetsuppdateringar:
- Adobe Commerce Security Patch Releases - översikt
- Instruktioner för hur du hämtar och använder säkerhetsuppdateringar finns i uppgraderingshandboken
2.4.4-p10
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p10 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.4.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-61.
Högdagrar
Den här versionen innehåller följande högdagrar:
-
Hastighetsbegränsning förone-time passwords - Följande nya systemkonfigurationsalternativ finns nu tillgängliga för att aktivera hastighetsbegränsning vid two-factor authentication (2FA) one-time password (OTP) -validering:
- Gräns för nya försök för tvåfaktorsautentisering
- Tvåfaktorautentisering, utelåsningstid (sekunder)
Adobe rekommenderar att man ställer in ett tröskelvärde för tvåfaldig validering av engångslösenord för att begränsa antalet nya försök att mildra brutna attacker. Mer information finns i Säkerhet > 2FA i referenshandboken för konfiguration.
-
Rotation av krypteringsnyckel - Nu finns ett nytt CLI-kommando tillgängligt för ändring av krypteringsnyckeln. Mer information finns i artikeln Troubleshooting Encryption Key Rotation (Felsökning av krypteringsnyckelrotation): CVE-2024-34102 i kunskapsbasen.
-
Korrigera för CVE-2020-27511 - Åtgärdar ett Prototype.js säkerhetsproblem.
-
Korrigera för CVE-2024-39397 - Åtgärdar ett säkerhetslucka för fjärrexekvering av kod. Säkerhetsluckan påverkar handlare som använder webbservern Apache för lokala eller självhanterade distributioner. Den här korrigeringen finns även som en isolerad korrigering. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce - APSB24-61 i kunskapsbasen.
Programfixar som ingår i den här versionen
Den här versionen innehåller följande snabbkorrigeringar:
-
Snabbkorrigering som åtgärdar ett JavaScript-fel som gjorde att Google Maps inte kunde återges korrekt i PageBuilder -redigeraren. Mer information finns i artikeln Uppdaterade korrigeringsfiler för åtkomstförlust för Google Maps i alla Adobe Commerce-versioner kunskapsbas.
-
Snabbkorrigering för att lösa ett JSON-valideringsfel (JWT) för CVE-2024-34102. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce-APSB24-40 i kunskapsbasen.
2.4.4-p9
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p9 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.4.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-40.
Programfix för CVE-2024-34102
För kunder som inte har använt säkerhetspatchen som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:
Alternativ 1:
Alternativ 2:
-
Använd den isolerade korrigeringen.
-
Rotera krypteringsnycklar.
För kunder som redan har tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:
-
Använd den snabbkorrigering som släpptes 17 juli 2024.
-
Rotera krypteringsnycklar.
För kunder som redan har 1) tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller 2) den isolerade korrigeringen som släpptes den 28 juni 2024 och 3) roterade sina krypteringsnycklar:
- Använd den snabbkorrigering som släpptes 17 juli 2024.
Plattformsuppgraderingar
- Stöd för MariaDB 10.5. Den här korrigeringsversionen är kompatibel med MariaDB version 10.5. Adobe Commerce är fortfarande kompatibelt med MariaDB version 10.4, men Adobe rekommenderar att du endast använder Adobe Commerce 2.4.4-p9 och alla kommande 2.4.4-säkerhetsuppdateringar med MariaDB version 10.5 eftersom MariaDB 10.4-underhållet upphör den 18 juni 2024.
Högdagrar
-
Stöd för SRI (Subresource Integrity) har lagts till för att uppfylla PCI 4.0-kraven för verifiering av skriptintegritet på betalningssidor. Stöd för SRI (Subresource Integrity) ger integritetshash för alla JavaScript-resurser i det lokala filsystemet. Standardfunktionen för SRI implementeras bara på betalningssidorna för områdena Admin och storefront. Handlare kan dock utöka standardkonfigurationen till andra sidor. Se Delresursintegritet i Commerce PHP-utvecklarhandbok.
-
Ändringar av CSP (Content Security Policy) - Konfigurationsuppdateringar och förbättringar av Adobe Commerce Content Security Policies (CSP) uppfyller PCI 4.0-kraven. Mer information finns i Säkerhetsprinciper för innehåll i Commerce PHP-utvecklarhandboken.
-
CSP-standardkonfigurationen för betalningssidor för Commerce Admin- och storefront-områden är nu
restrict
. Standardkonfigurationen ärreport-only
för alla andra sidor. I versioner före 2.4.7 konfigurerades CSP ireport-only
-läge för alla sidor. -
En nonce-provider har lagts till för att tillåta körning av infogade skript i en CSP. Enonce-providern gör det lättare att skapa unika nonce-strängar för varje begäran. Strängarna kopplas sedan till CSP-huvudet.
-
Lagt till alternativ för att konfigurera anpassade URI:er för att rapportera CSP-fel för sidan Skapa order i Admin och sidan Checka ut i butiken. Du kan lägga till konfigurationen från administratören eller genom att lägga till URI:n i filen
config.xml
.note note NOTE Om du uppdaterar CSP-konfigurationen till läget restrict
kan befintliga textbundna skript på betalningssidor i Admin och storefront blockeras, vilket orsakar följande webbläsarfel när en sida läses in:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Åtgärda dessa fel genom att uppdatera vitlistskonfigurationen så att nödvändiga skript tillåts. Se Felsökning i Commerce PHP Developer Guide.
-
2.4.4-p8
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p8 innehåller säkerhetsfelkorrigeringar för driftsättningen av Adobe Commerce 2.4.4. Uppdateringarna åtgärdar sårbarheter som har identifierats i tidigare versioner.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-18.
2.4.4-p7
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p7 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-03.
Högdagrar
Den här versionen innehåller två viktiga säkerhetsförbättringar:
-
Ändringar av beteendet för icke genererade cachenycklar:
- Icke genererade cachenycklar för block innehåller nu prefix som skiljer sig från prefix för nycklar som genereras automatiskt. (Icke-genererade cachenycklar är nycklar som ställs in via malldirektiv eller metoderna
setCacheKey
ellersetData
.) - Icke genererade cachenycklar för block får nu bara innehålla bokstäver, siffror, bindestreck (-) och understreck (_).
- Icke genererade cachenycklar för block innehåller nu prefix som skiljer sig från prefix för nycklar som genereras automatiskt. (Icke-genererade cachenycklar är nycklar som ställs in via malldirektiv eller metoderna
-
Begränsningar för antalet autogenererade kupongkoder. Commerce begränsar nu antalet kupongkoder som genereras automatiskt. Standardmaxvärdet är 250 000. Handlare kan använda det nya konfigurationsalternativet Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) för att styra den nya gränsen.
2.4.4-p6
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p6 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-50.
Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Högdagrar
I den här versionen introduceras en ny konfigurationsinställning för helsidescache, som hjälper till att minska riskerna med slutpunkten {BASE-URL}/page_cache/block/esi HTTP
. Den här slutpunkten stöder obegränsade, dynamiskt inlästa innehållsfragment från Commerce layouthandtag och blockstrukturer. Den nya konfigurationsinställningen Handles Param ställer in värdet för den här slutpunktens handles
-parameter, som avgör det högsta tillåtna antalet hanterare per API. Egenskapens standardvärde är 100. Handlare kan ändra det här värdet från Admin (Stores > Settings: Configuration > System > Full Page Cache > Handles Param).
Kända fel
Problem: Adobe Commerce visar ett fel kontrollsummefel vid hämtning från Composer från repo.magento.com
och pakethämtningen avbryts. Det här problemet kan uppstå vid hämtning av versionspaket som gjorts tillgängliga under förhandsversionen och orsakas av en ompaketering av paketet magento/module-page-cache
.
Tillfällig lösning: Handlare som ser det här felet under hämtningen kan göra följande:
- Ta bort katalogen
/vendor
i projektet, om det finns någon. - Kör kommandot
bin/magento composer update magento/module-page-cache
. Det här kommandot uppdaterar bara paketetpage cache
.
Om kontrollsummeproblemet kvarstår tar du bort filen composer.lock
innan du kör kommandot bin/magento composer update
igen för att uppdatera varje paket.
2.4.4-p5
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p5 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-42.
Programfix för CVE-2022-31160
jQuery-UI
biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i jQuery UI-säkerhetsproblemet CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.
2.4.4-p4
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p4 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar och plattformsuppgraderingar för att förbättra efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-35.
Programfix för CVE-2022-31160
jQuery-UI
biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i jQuery UI-säkerhetsproblemet CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.
Högdagrar
Standardbeteendet för GraphQL-frågan isEmailAvailable
och REST-slutpunkten (V1/customers/isEmailAvailable
) har ändrats. API:t returnerar nu alltid true
som standard. Handläggarna kan aktivera det ursprungliga beteendet, som är att returnera true
om e-postmeddelandet inte finns i databasen och false
om det finns.
Plattformsuppgraderingar
Plattformsuppgraderingar för den här versionen förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
-
Stöd för lack cache 7.3. Den här versionen är kompatibel med den senaste versionen av Varnish Cache 7.3. Kompatibiliteten är fortfarande kompatibel med versionerna 6.0.x och 7u.2.x, men Adobe rekommenderar att du endast använder Adobe Commerce 2.4.4-p4 med Varnish Cache version 7.3 eller version 6.0 LTS.
-
Stöd för RabbitMQ 3.1. Den här versionen är kompatibel med den senaste versionen av RabbitMQ 3.11. Kompatibiliteten finns kvar med RabbitMQ 3.9 som stöds till och med augusti 2023, men Adobe rekommenderar att du endast använder Adobe Commerce 2.4.4-p4 med RabbitMQ 3.11.
-
JavaScript-bibliotek. Inaktuella JavaScript-bibliotek har uppgraderats till de senaste mindre versionerna eller korrigeringsversionerna, inklusive
moment.js
bibliotek (v2.29.4),jQuery UI
bibliotek (v1.13.2) ochjQuery
plugin-bibliotek för validering (v1.19.5).
2.4.4-p3
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p3 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-17.
2.4.4-p2
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p2 innehåller korrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. En korrigering innebär att en ny konfigurationsinställning skapas. Kräv e-postbekräftelse om e-postadressen har ändrats så att administratörer kan kräva e-postbekräftelse när en administratörsanvändare ändrar sin e-postadress.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB22-48.
Använd AC-3022.patch för att fortsätta erbjuda DHL som fraktfirma
DHL har introducerat schemaversion 6.2 och kommer inom kort att föråldra schemaversion 6.0. Adobe Commerce 2.4.4 och tidigare versioner som stöder DHL-integration stöder endast version 6.0. Merchants som distribuerar dessa releaser ska tillämpa AC-3022.patch
så snart som möjligt för att fortsätta erbjuda DHL som fraktfirma. Information om hur du hämtar och installerar korrigeringsfilen finns i Använd en korrigeringsfil för att fortsätta erbjuda DHL som fraktfirma.
2.4.4-p1
Säkerhetsutgåvan av Adobe Commerce 2.4.4-p1 innehåller korrigeringar av säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Säkerhetsbulletin för Adobe.t
Använd AC-3022.patch
om du vill fortsätta erbjuda DHL som fraktfirma
DHL har introducerat schemaversion 6.2 och kommer inom kort att föråldra schemaversion 6.0. Adobe Commerce 2.4.4 och tidigare versioner som stöder DHL-integration stöder endast version 6.0. Merchants som distribuerar dessa releaser ska tillämpa AC-3022.patch
så snart som möjligt för att fortsätta erbjuda DHL som fraktfirma. Information om hur du hämtar och installerar korrigeringsfilen finns i Använd en korrigeringsfil för att fortsätta erbjuda DHL som fraktfirma.
Högdagrar
Säkerhetsförbättringar för den här versionen förbättrar efterlevnaden av de senaste bästa säkerhetsrutinerna, inklusive:
- ACL-resurser har lagts till i inventeringen.
- Säkerheten för lagermallar har förbättrats.
Kända fel
Problem: Det här felet visas i webb-API:t och integrationstester när de körs i 2.4.4-p1-paketet: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69
. Tillfällig lösning: Installera den tidigare versionen av Monolog genom att köra kommandot require monolog/monolog:2.6.0
.
Utgåva: Merchants kan se information om nedgradering av paketversioner under en uppgradering från Adobe Commerce 2.4.4 till Adobe Commerce 2.4.4-p1. Dessa meddelanden kan ignoreras. Skillnaden i paketversioner beror på avvikelser vid paketgenerering. Ingen produktfunktion har påverkats. I artikeln Paket som nedgraderats efter uppgradering från 2.4.4 till 2.4.4-p1 i kunskapsbasen finns information om vilka scenarier och lösningar som påverkas.