Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.6
Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:
- Säkerhetsfelkorrigeringar
- Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
- Kända fel
- Instruktioner för att vid behov lägga till ytterligare patchar
- Information om eventuella snabbkorrigeringar i releasen
Läs mer om säkerhetsuppdateringar:
- Adobe Commerce Security Patch Releases - översikt
- Instruktioner för hur du hämtar och använder säkerhetsuppdateringar finns i uppgraderingshandboken
2.4.6-p8
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p8 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.6.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-73.
Högdagrar
Den här versionen innehåller följande högdagrar:
-
TinyMCE-uppgradering - WYSIWYG-redigeraren i Admin använder nu den senaste versionen av TinyMCE-beroendet (7.3-).
-
TinyMCE 7.3 ger en förbättrad användarupplevelse, bättre samarbete och ökad effektivitet. TinyMCE 5 har tagits bort från versionslinjen 2.4.8.
-
Eftersom ett säkerhetsproblem (CVE-2024-38357) rapporterades i TinyMCE 5.10, uppgraderades beroendet för alla versionsrader som stöds och inkluderades i alla säkerhetspatchar från oktober 2024:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js-uppgradering - Adobe Commerce använder nu den senaste versionen av Require.js (2.3.7).
-
Eftersom ett säkerhetsproblem (CVE-2024-38999) rapporterades i Require.js 2.3.6, uppgraderades beroendet för alla versionsrader som stöds och inkluderades i alla säkerhetspatchar från oktober 2024:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
Programfixar som ingår i den här versionen
Den här versionen innehåller en snabbkorrigering som löser ett problem med betalningsgatewayen i Braintree.
Systemet innehåller nu de fält som krävs för att uppfylla kraven för 3DS VISA-mandat när Braintree används som betalningsgateway. Detta säkerställer att alla transaktioner överensstämmer med de senaste säkerhetsstandarderna från VISA. Tidigare ingick inte dessa ytterligare fält i den betalningsinformation som skickades, vilket kunde ha lett till att de nya kraven för VISA inte hade uppfyllts.
2.4.6-p7
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p7 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.6.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-61.
Högdagrar
Den här versionen innehåller följande högdagrar:
-
Hastighetsbegränsning förone-time passwords - Följande nya systemkonfigurationsalternativ finns nu tillgängliga för att aktivera hastighetsbegränsning vid two-factor authentication (2FA) one-time password (OTP) -validering:
- Gräns för nya försök för tvåfaktorsautentisering
- Tvåfaktorautentisering, utelåsningstid (sekunder)
Adobe rekommenderar att man ställer in ett tröskelvärde för tvåfaldig validering av engångslösenord för att begränsa antalet nya försök att mildra brutna attacker. Mer information finns i Säkerhet > 2FA i referenshandboken för konfiguration.
-
Rotation av krypteringsnyckel - Nu finns ett nytt CLI-kommando tillgängligt för ändring av krypteringsnyckeln. Mer information finns i artikeln Troubleshooting Encryption Key Rotation (Felsökning av krypteringsnyckelrotation): CVE-2024-34102 i kunskapsbasen.
-
Korrigera för CVE-2020-27511 - Åtgärdar ett Prototype.js säkerhetsproblem.
-
Korrigera för CVE-2024-39397 - Åtgärdar ett säkerhetslucka för fjärrexekvering av kod. Säkerhetsluckan påverkar handlare som använder webbservern Apache för lokala eller självhanterade distributioner. Den här korrigeringen finns även som en isolerad korrigering. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce - APSB24-61 i kunskapsbasen.
Programfixar som ingår i den här versionen
Den här versionen innehåller följande snabbkorrigeringar:
-
Snabbkorrigering som åtgärdar ett JavaScript-fel som gjorde att Google Maps inte kunde återges korrekt i PageBuilder -redigeraren. Mer information finns i artikeln Uppdaterade korrigeringsfiler för åtkomstförlust för Google Maps i alla Adobe Commerce-versioner kunskapsbas.
-
Snabbkorrigering för att lösa ett JSON-valideringsfel (JWT) för CVE-2024-34102. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce-APSB24-40 i kunskapsbasen.
2.4.6-p6
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p6 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.6.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-40.
För kompatibilitet med Commerce version 2.4.6-p6 måste handlare som har tillägget Adobe Commerce B2B uppgradera till B2B version 1.4.2-p1.
Programfix för CVE-2024-34102
För kunder som inte har använt säkerhetspatchen som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:
Alternativ 1:
Alternativ 2:
-
Använd den isolerade korrigeringen.
-
Rotera krypteringsnycklar.
För kunder som redan har tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:
-
Använd den snabbkorrigering som släpptes 17 juli 2024.
-
Rotera krypteringsnycklar.
För kunder som redan har 1) tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller 2) den isolerade korrigeringen som släpptes den 28 juni 2024 och 3) roterade sina krypteringsnycklar:
- Använd den snabbkorrigering som släpptes 17 juli 2024.
För kompatibilitet med Commerce version 2.4.6-p6 måste handlare som har tillägget Adobe Commerce B2B uppgradera till B2B version 1.4.2-p1.
Högdagrar
-
Stöd för SRI (Subresource Integrity) har lagts till för att uppfylla PCI 4.0-kraven för verifiering av skriptintegritet på betalningssidor. Stöd för SRI (Subresource Integrity) ger integritetshash för alla JavaScript-resurser i det lokala filsystemet. Standardfunktionen för SRI implementeras bara på betalningssidorna för områdena Admin och storefront. Handlare kan dock utöka standardkonfigurationen till andra sidor. Se Delresursintegritet i Commerce PHP-utvecklarhandbok.
-
Ändringar av CSP (Content Security Policy) - Konfigurationsuppdateringar och förbättringar av Adobe Commerce Content Security Policies (CSP) uppfyller PCI 4.0-kraven. Mer information finns i Säkerhetsprinciper för innehåll i Commerce PHP-utvecklarhandboken.
-
CSP-standardkonfigurationen för betalningssidor för Commerce Admin- och storefront-områden är nu
restrict
. Standardkonfigurationen ärreport-only
för alla andra sidor. I versioner före 2.4.7 konfigurerades CSP ireport-only
-läge för alla sidor. -
En nonce-provider har lagts till för att tillåta körning av infogade skript i en CSP. Enonce-providern gör det lättare att skapa unika nonce-strängar för varje begäran. Strängarna kopplas sedan till CSP-huvudet.
-
Lagt till alternativ för att konfigurera anpassade URI:er för att rapportera CSP-fel för sidan Skapa order i Admin och sidan Checka ut i butiken. Du kan lägga till konfigurationen från administratören eller genom att lägga till URI:n i filen
config.xml
.note note NOTE Om du uppdaterar CSP-konfigurationen till läget restrict
kan befintliga textbundna skript på betalningssidor i Admin och storefront blockeras, vilket orsakar följande webbläsarfel när en sida läses in:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
. Åtgärda dessa fel genom att uppdatera vitlistskonfigurationen så att nödvändiga skript tillåts. Se Felsökning i Commerce PHP Developer Guide.
-
2.4.6-p5
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p5 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.6.
Den senaste informationen om dessa korrigeringar finns i Säkerhetsbulletin APSB24-18 för Adobe.
2.4.6-p4
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p4 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-03.
Högdagrar
Den här versionen innehåller två viktiga säkerhetsförbättringar:
-
Ändringar av beteendet för icke genererade cachenycklar:
- Icke genererade cachenycklar för block innehåller nu prefix som skiljer sig från prefix för nycklar som genereras automatiskt. (Icke-genererade cachenycklar är nycklar som ställs in via malldirektiv eller metoderna
setCacheKey
ellersetData
.) - Icke genererade cachenycklar för block får nu bara innehålla bokstäver, siffror, bindestreck (-) och understreck (_).
- Icke genererade cachenycklar för block innehåller nu prefix som skiljer sig från prefix för nycklar som genereras automatiskt. (Icke-genererade cachenycklar är nycklar som ställs in via malldirektiv eller metoderna
-
Begränsningar för antalet autogenererade kupongkoder. Commerce begränsar nu antalet kupongkoder som genereras automatiskt. Standardmaxvärdet är 250 000. Handlare kan använda det nya konfigurationsalternativet Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) för att styra den nya gränsen.
2.4.6-p3
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p3 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfixar finns i Adobe säkerhetsbulletin APSB23-50.
Högdagrar
I den här versionen introduceras en ny konfigurationsinställning för helsidescache, som hjälper till att minska riskerna med slutpunkten {BASE-URL}/page_cache/block/esi HTTP
. Den här slutpunkten stöder obegränsade, dynamiskt inlästa innehållsfragment från Commerce layouthandtag och blockstrukturer. Den nya konfigurationsinställningen Handles Param ställer in värdet för den här slutpunktens handles
-parameter, som avgör det högsta tillåtna antalet hanterare per API. Egenskapens standardvärde är 100. Handlare kan ändra det här värdet från Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.
Programfixar som ingår i den här versionen
Adobe Commerce 2.4.6-p3 innehåller en upplösning för prestandaförsämringen som korrigeras med patchen ACSD-51892. Handlare påverkas inte av det problem som den här korrigeringen åtgärdar, som beskrivs i ACSD-51892: Prestandaproblem där konfigurationsfiler läses in flera gånger kunskapsbasartikeln.
Kända fel
Problem: Adobe Commerce visar ett wrong checksum
-fel under hämtning från Composer från repo.magento.com
och pakethämtningen avbryts. Det här problemet kan uppstå vid hämtning av frisläppningspaket som är tillgängliga under betaversionsperioden och orsakas av en ompaketering av magento/module-page-cache
-paketet.
Tillfällig lösning: Handlare som ser det här felet under hämtningen kan göra följande:
- Ta bort katalogen
/vendor
i projektet, om det finns någon. - Kör kommandot
bin/magento composer update magento/module-page-cache
. Det här kommandot uppdaterar bara paketetpage cache
.
Om kontrollsummeproblemet kvarstår tar du bort filen composer.lock
innan du kör kommandot bin/magento composer update
igen för att uppdatera varje paket.
2.4.6-p2
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p2 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar som förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-42.
Programfix för CVE-2022-31160
jQuery-UI
biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i jQuery UI-säkerhetsproblemet CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.
Högdagrar
Värdet fastcgi_pass
i filen nginx.sample
har returnerats till det tidigare (före 2.4.6-p1) värdet fastcgi_backend
. Det här värdet ändrades av misstag till php-fpm:9000
i Adobe Commerce 2.4.6-p1.
Programfixar som ingår i den här versionen
Adobe Commerce 2.4.6-p2 innehåller en upplösning för prestandaförsämringen som åtgärdas med patchen ACSD-51892. Handlare påverkas inte av det problem som den här korrigeringen åtgärdar, som beskrivs i ACSD-51892: Prestandaproblem där konfigurationsfiler läses in flera gånger kunskapsbasartikeln.
2.4.6-p1
Säkerhetsutgåvan av Adobe Commerce 2.4.6-p1 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner. Den här versionen innehåller även säkerhetsförbättringar och plattformsuppgraderingar för att förbättra efterlevnaden av de senaste säkerhetsstandarderna.
Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB23-35.
Programfix för CVE-2022-31160
jQuery-UI
biblioteksversion 1.13.1 har ett känt säkerhetsproblem (CVE-2022-31160) som påverkar flera versioner av Adobe Commerce och Magento Open Source. Detta bibliotek är beroende av Adobe Commerce och Magento Open Source 2.4.4, 2.4.5 och 2.4.6. Handlare som kör berörda distributioner bör tillämpa den korrigering som anges i säkerhetsluckan för användargränssnittsfrågor CVE-2022-31160 för version 2.4.4, 2.4.5 och 2.4.6i kunskapsbasartikeln.
Högdager
Standardbeteendet för GraphQL-frågan isEmailAvailable
och REST-slutpunkten (V1/customers/isEmailAvailable
) har ändrats. API:t returnerar nu alltid true
som standard. Handläggarna kan aktivera det ursprungliga beteendet, som är att returnera true
om e-postmeddelandet inte finns i databasen och false
om det finns.
Plattformsuppgraderingar
Plattformsuppgraderingar för den här versionen förbättrar efterlevnaden av de senaste säkerhetsstandarderna.
-
Stöd för lack cache 7.3. Den här versionen är kompatibel med den senaste versionen av Varnish Cache 7.3. Kompatibiliteten är fortfarande kompatibel med versionerna 6.0.x och 7.2.x, men Adobe rekommenderas att endast använda Adobe Commerce 2.4.6-p1 med version 7.3 eller version 6.0 av Varnish Cache.
-
Stöd för RabbitMQ 3.1. Den här versionen är kompatibel med den senaste versionen av RabbitMQ 3.11. Kompatibiliteten är fortfarande kompatibel med RabbitMQ 3.9 som stöds till och med augusti 2023, men Adobe rekommenderar att du endast använder Adobe Commerce 2.4.6-p1 med RabbitMQ 3.11.
-
JavaScript-bibliotek. Inaktuella JavaScript-bibliotek har uppgraderats till de senaste mindre versionerna eller korrigeringsversionerna, inklusive
moment.js
bibliotek (v2.29.4),jQuery UI
bibliotek (v1.13.2) ochjQuery
plugin-bibliotek för validering (v1.19.5).
Kända fel
-
Filen
nginx.sample
uppdaterades av misstag med en ändring som ändrar värdet förfastcgi_pass
frånfastcgi_backend
tillphp-fpm:9000
. Den här ändringen kan ångras eller ignoreras. -
Beroenden som saknas för B2B-säkerhetspaketet orsakar följande installationsfel när B2B-tillägget installeras eller uppgraderas till 1.4.0.
code language-none Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.
Det här problemet kan lösas genom att lägga till manuella beroenden för B2B-säkerhetspaketet med en stabilitetstagg. Mer information finns i Versionsinformationen för B2B.