Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.5

Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:

  • Säkerhetsfelkorrigeringar
  • Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
  • Kända fel
  • Instruktioner för att vid behov lägga till ytterligare patchar
  • Information om eventuella snabbkorrigeringar i releasen

Läs mer om säkerhetsuppdateringar:

2.4.5-p9

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p9 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.5.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-61.

Högdagrar

Den här versionen innehåller följande högdagrar:

  • Hastighetsbegränsning förone-time passwords - Följande nya systemkonfigurationsalternativ finns nu tillgängliga för att aktivera hastighetsbegränsning vid two-factor authentication (2FA) one-time password (OTP) -validering:

    • Gräns för nya försök för tvåfaktorsautentisering
    • Tvåfaktorautentisering, utelåsningstid (sekunder)

    Adobe rekommenderar att man ställer in ett tröskelvärde för tvåfaldig validering av engångslösenord för att begränsa antalet nya försök att mildra brutna attacker. Mer information finns i Säkerhet > 2FA i referenshandboken för konfiguration.

  • Rotation av krypteringsnyckel - Nu finns ett nytt CLI-kommando tillgängligt för ändring av krypteringsnyckeln. Mer information finns i artikeln Troubleshooting Encryption Key Rotation (Felsökning av krypteringsnyckelrotation): CVE-2024-34102 i kunskapsbasen.

  • Korrigera för CVE-2020-27511 - Åtgärdar ett Prototype.js säkerhetsproblem.

  • Korrigera för CVE-2024-39397 - Åtgärdar ett säkerhetslucka för fjärrexekvering av kod. Säkerhetsluckan påverkar handlare som använder webbservern Apache för lokala eller självhanterade distributioner. Den här korrigeringen finns även som en isolerad korrigering. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce - APSB24-61 i kunskapsbasen.

Programfixar som ingår i den här versionen

Den här versionen innehåller följande snabbkorrigeringar:

2.4.5-p8

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p8 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-40.

Programfix för CVE-2024-34102

IMPORTANT
Det här är en brådskande uppdatering av vårt senaste meddelande om CVE-2024-34102. Adobe är medvetet om att CVE-2024-34102 har utnyttjats i mycket begränsade attacker mot Adobe Commerce handlare. Åtgärda snabbt problemet, om du inte gjort det.

För kunder som inte har använt säkerhetspatchen som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

Alternativ 1:

  1. Använd en av säkerhetspatcharna som släpptes den 11 juni 2024:

  2. Använd den snabbkorrigering som släpptes 17 juli 2024.

  3. Rotera krypteringsnycklar.

Alternativ 2:

  1. Använd den isolerade korrigeringen.

  2. Rotera krypteringsnycklar.

För kunder som redan har tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

  1. Använd den snabbkorrigering som släpptes 17 juli 2024.

  2. Rotera krypteringsnycklar.

För kunder som redan har 1) tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller 2) den isolerade korrigeringen som släpptes den 28 juni 2024 och 3) roterade sina krypteringsnycklar:

  1. Använd den snabbkorrigering som släpptes 17 juli 2024.

Plattformsuppgraderingar

  • Stöd för MariaDB 10.5. Den här korrigeringsversionen är kompatibel med MariaDB version 10.5. Adobe Commerce är fortfarande kompatibelt med MariaDB version 10.4, men Adobe rekommenderar att du använder Adobe Commerce 2.4.5-p8 och alla kommande 2.4.5-säkerhetsuppdateringar endast med MariaDB version 10.5 eftersom MariaDB 10.4-underhållet upphör den 18 juni 2024.

Högdagrar

  • Stöd för SRI (Subresource Integrity) har lagts till för att uppfylla PCI 4.0-kraven för verifiering av skriptintegritet på betalningssidor. Stöd för SRI (Subresource Integrity) ger integritetshash för alla JavaScript-resurser i det lokala filsystemet. Standardfunktionen för SRI implementeras bara på betalningssidorna för områdena Admin och storefront. Handlare kan dock utöka standardkonfigurationen till andra sidor. Se Delresursintegritet i Commerce PHP-utvecklarhandbok.

  • Ändringar av CSP (Content Security Policy) - Konfigurationsuppdateringar och förbättringar av Adobe Commerce Content Security Policies (CSP) uppfyller PCI 4.0-kraven. Mer information finns i Säkerhetsprinciper för innehåll i Commerce PHP-utvecklarhandboken.

    • CSP-standardkonfigurationen för betalningssidor för Commerce Admin- och storefront-områden är nu restrict. Standardkonfigurationen är report-only för alla andra sidor. I versioner före 2.4.7 konfigurerades CSP i report-only-läge för alla sidor.

    • En nonce-provider har lagts till för att tillåta körning av infogade skript i en CSP. Enonce-providern gör det lättare att skapa unika nonce-strängar för varje begäran. Strängarna kopplas sedan till CSP-huvudet.

    • Lagt till alternativ för att konfigurera anpassade URI:er för att rapportera CSP-fel för sidan Skapa order i Admin och sidan Checka ut i butiken. Du kan lägga till konfigurationen från administratören eller genom att lägga till URI:n i filen config.xml.

      note note
      NOTE
      Om du uppdaterar CSP-konfigurationen till läget restrict kan befintliga textbundna skript på betalningssidor i Admin och storefront blockeras, vilket orsakar följande webbläsarfel när en sida läses in: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Åtgärda dessa fel genom att uppdatera vitlistskonfigurationen så att nödvändiga skript tillåts. Se Felsökning i Commerce PHP Developer Guide.

2.4.5-p7

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p7 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-18.

2.4.5-p6

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p6 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-03.

Högdagrar

Den här versionen innehåller två viktiga säkerhetsförbättringar:

  • Ändringar av beteendet för icke genererade cachenycklar:

    • Icke genererade cachenycklar för block innehåller nu prefix som skiljer sig från prefix för nycklar som genereras automatiskt. (Icke-genererade cachenycklar är nycklar som ställs in via malldirektiv eller metoderna setCacheKey eller setData.)
    • Icke genererade cachenycklar för block får nu bara innehålla bokstäver, siffror, bindestreck (-) och understreck (_).
  • Begränsningar för antalet autogenererade kupongkoder. Commerce begränsar nu antalet kupongkoder som genereras automatiskt. Standardmaxvärdet är 250 000. Handlare kan använda det nya konfigurationsalternativet Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) för att styra den nya gränsen.

2.4.5-p5

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p5 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-50.

Högdagrar

I den här versionen introduceras en ny konfigurationsinställning för helsidescache, som hjälper till att minska riskerna med slutpunkten {BASE-URL}/page_cache/block/esi HTTP. Den här slutpunkten stöder obegränsade, dynamiskt inlästa innehållsfragment från Commerce layouthandtag och blockstrukturer. Den nya konfigurationsinställningen Handles Param ställer in värdet för den här slutpunktens handles -parameter, som avgör det högsta tillåtna antalet hanterare per API. Egenskapens standardvärde är 100. Handlare kan ändra det här värdet från Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param).

Kända fel

Problem: Adobe Commerce visar ett fel kontrollsummefel vid hämtning från Composer från repo.magento.com och pakethämtningen avbryts. Det här problemet kan uppstå vid hämtning av versionspaket som gjorts tillgängliga under förhandsversionen och orsakas av en ompaketering av paketet magento/module-page-cache.

Tillfällig lösning: Handlare som ser det här felet under hämtningen kan göra följande:

  1. Ta bort katalogen /vendor i projektet, om det finns någon.
  2. Kör kommandot bin/magento composer update magento/module-page-cache. Det här kommandot uppdaterar bara paketet page cache.

Om kontrollsummeproblemet kvarstår tar du bort filen composer.lock innan du kör kommandot bin/magento composer update igen för att uppdatera varje paket.

2.4.5-p4

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p4 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-42.

Programfix för CVE-2022-31160

jQuery-UI biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i jQuery UI-säkerhetsproblemet CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.

2.4.5-p3

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p3 innehåller säkerhetsfixar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Säkerhetsbulletin för Adobe.

Programfix för CVE-2022-31160

jQuery-UI biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i säkerhetsluckan för användargränssnittsfrågor CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.

Högdagrar

Standardbeteendet för GraphQL-frågan isEmailAvailable och REST-slutpunkten (V1/customers/isEmailAvailable) har ändrats. API:t returnerar nu alltid true som standard. Handläggarna kan aktivera det ursprungliga beteendet, som är att returnera true om e-postmeddelandet inte finns i databasen och false om det finns.

Plattformsuppgraderingar

Plattformsuppgraderingar för den här versionen förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

  • Stöd för lack cache 7.3. Den här versionen är kompatibel med den senaste versionen av Varnish Cache 7.3. Kompatibiliteten är fortfarande kompatibel med versionerna 6.0.x och 7.2.x, men vi rekommenderar att du bara använder Adobe Commerce 2.4.5-p3 med Varnish Cache version 7.3 eller version 6.0 LTS.

  • Stöd för RabbitMQ 3.1. Den här versionen är kompatibel med den senaste versionen av RabbitMQ 3.11. Kompatibiliteten är fortfarande med RabbitMQ 3.9, som stöds fram till augusti 2023, men vi rekommenderar att du endast använder Adobe Commerce 2.4.5-p3 med RabbitMQ 3.11.

  • JavaScript-bibliotek. Inaktuella JavaScript-bibliotek har uppgraderats till de senaste mindre versionerna eller korrigeringsversionerna, inklusive moment.js bibliotek (v2.29.4), jQuery UI bibliotek (v1.13.2) och jQuery plugin-bibliotek för validering (v1.19.5).

2.4.5-p2

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p2 innehåller tre säkerhetskorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-17.

2.4.5-p1

Säkerhetsutgåvan av Adobe Commerce 2.4.5-p1 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.5.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB22-48.

En av säkerhetsfelkorrigeringarna var att skapa en ny konfigurationsinställning. Kräv e-postbekräftelse om e-postadressen har ändrats så att administratörer kan kräva e-postbekräftelse när en Admin-användare ändrar sin e-postadress.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f