Dokumentation Handel Versionsinformation

Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.6

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Ämnen:

Skapat för:

Erfaren
Administratör
Utvecklare

Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:

Säkerhetsfelkorrigeringar
Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
Kända fel
Instruktioner för att vid behov lägga till ytterligare patchar
Information om eventuella snabbkorrigeringar i releasen

Läs mer om säkerhetsuppdateringar:

Adobe Commerce 2.4.6-p6

Säkerhetsutgåvan av Adobe Commerce 2.4.6-p6 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.6.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-40.

Programfix för CVE-2024-34102

IMPORTANT

Det här är en brådskande uppdatering av vårt senaste meddelande om CVE-2024-34102. Adobe är medvetet om att CVE-2024-34102 har utnyttjats i mycket begränsade attacker mot Adobe Commerce handlare. Åtgärda snabbt problemet, om du inte gjort det.

För kunder som inte har använt säkerhetspatchen som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

Alternativ 1:

Använd en av säkerhetspatcharna som släpptes den 11 juni 2024:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Använd den snabbkorrigering som släpptes 17 juli 2024.
Rotera krypteringsnycklar.

Alternativ 2:

Använd den isolerade korrigeringen.
Rotera krypteringsnycklar.

För kunder som redan har tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

Använd den snabbkorrigering som släpptes 17 juli 2024.
Rotera krypteringsnycklar.

För kunder som redan har 1) tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller 2) den isolerade korrigeringen som släpptes den 28 juni 2024 och 3) roterade sina krypteringsnycklar:

Använd den snabbkorrigering som släpptes 17 juli 2024.

Säkerhetsmarkering

För kompatibilitet med Commerce version 2.4.6-p6 måste handlare som har tillägget Adobe Commerce B2B uppgradera till B2B version 1.4.2-p1.

Ytterligare säkerhetsförbättringar

Stöd för SRI (Subresource Integrity) har lagts till för att uppfylla PCI 4.0-kraven för verifiering av skriptintegritet på betalningssidor. Stöd för SRI (Subresource Integrity) ger integritetshash för alla JavaScript-resurser i det lokala filsystemet. Standardfunktionen för SRI implementeras bara på betalningssidorna för områdena Admin och storefront. Handlare kan dock utöka standardkonfigurationen till andra sidor. Se Delresursintegritet i Commerce PHP-utvecklarhandbok.

Ändringar av CSP (Content Security Policy) - Konfigurationsuppdateringar och förbättringar av Adobe Commerce Content Security Policies (CSP) uppfyller PCI 4.0-kraven. Mer information finns i Säkerhetsprinciper för innehåll i Commerce PHP-utvecklarhandboken.

CSP-standardkonfigurationen för betalningssidor för Commerce Admin- och storefront-områden är nu restrict. Standardkonfigurationen är report-only för alla andra sidor. I versioner före 2.4.7 konfigurerades CSP i report-only-läge för alla sidor.
En nonce-provider har lagts till för att tillåta körning av infogade skript i en CSP. Enonce-providern gör det lättare att skapa unika nonce-strängar för varje begäran. Strängarna kopplas sedan till CSP-huvudet.

Lagt till alternativ för att konfigurera anpassade URI:er för att rapportera CSP-fel för sidan Skapa order i Admin och sidan Checka ut i butiken. Du kan lägga till konfigurationen från administratören eller genom att lägga till URI:n i filen config.xml.

note note

note note
NOTE
Om du uppdaterar CSP-konfigurationen till läget `restrict` kan befintliga textbundna skript på betalningssidor i Admin och storefront blockeras, vilket orsakar följande webbläsarfel när en sida läses in: `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src`. Åtgärda dessa fel genom att uppdatera vitlistskonfigurationen så att nödvändiga skript tillåts. Se Felsökning i Commerce PHP Developer Guide.

NOTE

Om du uppdaterar CSP-konfigurationen till läget restrict kan befintliga textbundna skript på betalningssidor i Admin och storefront blockeras, vilket orsakar följande webbläsarfel när en sida läses in: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Åtgärda dessa fel genom att uppdatera vitlistskonfigurationen så att nödvändiga skript tillåts. Se Felsökning i Commerce PHP Developer Guide.

Adobe Commerce 2.4.6-p5

Säkerhetsutgåvan av Adobe Commerce 2.4.6-p5 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.6.

Den senaste informationen om dessa korrigeringar finns i Säkerhetsbulletin APSB24-18 för Adobe.

Adobe Commerce 2.4.6-p4

Säkerhetsutgåvan av Adobe Commerce 2.4.6-p4 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-03.

Viktiga säkerhetsfunktioner

Den här versionen innehåller två viktiga säkerhetsförbättringar:

Ändringar av beteendet för icke genererade cachenycklar:
- Icke genererade cachenycklar för block innehåller nu prefix som skiljer sig från prefix för nycklar som genereras automatiskt. (Icke-genererade cachenycklar är nycklar som ställs in via malldirektiv eller metoderna setCacheKey eller setData.)
- Icke genererade cachenycklar för block får nu bara innehålla bokstäver, siffror, bindestreck (-) och understreck (_).
Begränsningar för antalet autogenererade kupongkoder. Commerce begränsar nu antalet kupongkoder som genereras automatiskt. Standardmaxvärdet är 250 000. Handlare kan använda det nya konfigurationsalternativet Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) för att styra den nya gränsen.

Adobe Commerce 2.4.6-p3

Säkerhetsutgåvan av Adobe Commerce 2.4.6-p3 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfixar finns i Adobe säkerhetsbulletin APSB23-50.

Viktiga säkerhetsfunktioner

I den här versionen introduceras en ny konfigurationsinställning för helsidescache, som hjälper till att minska riskerna med slutpunkten {BASE-URL}/page_cache/block/esi HTTP. Den här slutpunkten stöder obegränsade, dynamiskt inlästa innehållsfragment från Commerce layouthandtag och blockstrukturer. Den nya konfigurationsinställningen Handles Param ställer in värdet för den här slutpunktens handles -parameter, som avgör det högsta tillåtna antalet hanterare per API. Egenskapens standardvärde är 100. Handlare kan ändra det här värdet från Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

Programfixar som ingår i den här versionen

Adobe Commerce 2.4.6-p3 innehåller en upplösning för prestandaförsämringen som korrigeras med patchen ACSD-51892. Handlare påverkas inte av det problem som den här korrigeringen åtgärdar, som beskrivs i ACSD-51892: Prestandaproblem där konfigurationsfiler läses in flera gånger kunskapsbasartikeln.

Känt fel

Problem: Adobe Commerce visar ett wrong checksum-fel under hämtning från Composer från repo.magento.com och pakethämtningen avbryts. Det här problemet kan uppstå vid hämtning av frisläppningspaket som är tillgängliga under betaversionsperioden och orsakas av en ompaketering av magento/module-page-cache-paketet.

Tillfällig lösning: Handlare som ser det här felet under hämtningen kan göra följande:

Ta bort katalogen /vendor i projektet, om det finns någon.
Kör kommandot bin/magento composer update magento/module-page-cache. Det här kommandot uppdaterar bara paketet page cache.

Om kontrollsummeproblemet kvarstår tar du bort filen composer.lock innan du kör kommandot bin/magento composer update igen för att uppdatera varje paket.

2.4.6-p2

Säkerhetsutgåvan av Adobe Commerce 2.4.6-p2 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-42.

Använd en patch för att åtgärda säkerhetsluckan CVE-2022-31160 i jQuery-UI-biblioteket

jQuery-UI biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i jQuery UI-säkerhetsproblemet CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.

Säkerhetsmarkering

Värdet fastcgi_pass i filen nginx.sample har returnerats till det tidigare (före 2.4.6-p1) värdet fastcgi_backend. Det här värdet ändrades av misstag till php-fpm:9000 i Adobe Commerce 2.4.6-p1.

Programfixar som ingår i den här versionen

Adobe Commerce 2.4.6-p2 innehåller en upplösning för prestandaförsämringen som åtgärdas med patchen ACSD-51892. Handlare påverkas inte av det problem som den här korrigeringen åtgärdar, som beskrivs i ACSD-51892: Prestandaproblem där konfigurationsfiler läses in flera gånger kunskapsbasartikeln.

Adobe Commerce 2.4.6-p1

Säkerhetsutgåvan av Adobe Commerce 2.4.6-p1 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar och plattformsuppgraderingar för att förbättra efterlevnaden av de senaste säkerhetsstandarderna.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-35.

Använd en patch för att åtgärda säkerhetsluckan CVE-2022-31160 i jQuery-UI-biblioteket

jQuery-UI biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i säkerhetsluckan för användargränssnittsfrågor CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.

Säkerhetsmarkering

Standardbeteendet för GraphQL-frågan isEmailAvailable och REST-slutpunkten (V1/customers/isEmailAvailable) har ändrats. API:t returnerar nu alltid true som standard. Handläggarna kan aktivera det ursprungliga beteendet, som är att returnera true om e-postmeddelandet inte finns i databasen och false om det finns.

Plattformsuppgraderingar

Plattformsuppgraderingar för den här versionen förbättrar efterlevnaden av de senaste säkerhetsstandarderna.

Stöd för lack cache 7.3. Den här versionen är kompatibel med den senaste versionen av Varnish Cache 7.3. Kompatibiliteten är fortfarande kompatibel med versionerna 6.0.x och 7.2.x, men Adobe rekommenderas att endast använda Adobe Commerce 2.4.6-p1 med version 7.3 eller version 6.0 av Varnish Cache.
Stöd för RabbitMQ 3.1. Den här versionen är kompatibel med den senaste versionen av RabbitMQ 3.11. Kompatibiliteten är fortfarande kompatibel med RabbitMQ 3.9 som stöds till och med augusti 2023, men Adobe rekommenderar att du endast använder Adobe Commerce 2.4.6-p1 med RabbitMQ 3.11.
JavaScript-bibliotek. Inaktuella JavaScript-bibliotek har uppgraderats till de senaste mindre versionerna eller korrigeringsversionerna, inklusive moment.js bibliotek (v2.29.4), jQuery UI bibliotek (v1.13.2) och jQuery plugin-bibliotek för validering (v1.19.5).

Kända fel

Filen nginx.sample uppdaterades av misstag med en ändring som ändrar värdet för fastcgi_pass från fastcgi_backend till php-fpm:9000. Den här ändringen kan ångras eller ignoreras.

Beroenden som saknas för B2B-säkerhetspaketet orsakar följande installationsfel när B2B-tillägget installeras eller uppgraderas till 1.4.0.

code language-none

code language-none
`Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.`

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

Det här problemet kan lösas genom att lägga till manuella beroenden för B2B-säkerhetspaketet med en stabilitetstagg. Mer information finns i Versionsinformationen för B2B.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f