Dokumentation Handel Versionsinformation

Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.7

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Ämnen:

Skapat för:

Erfaren
Administratör
Utvecklare

Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:

Säkerhetsfelkorrigeringar
Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
Kända fel
Instruktioner för att vid behov lägga till ytterligare patchar
Information om eventuella snabbkorrigeringar i releasen

Läs mer om säkerhetsuppdateringar:

Adobe Commerce Security Patch Releases - översikt
Instruktioner för hur du hämtar och använder säkerhetsuppdateringar finns i uppgraderingshandboken

2.4.7-p3

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p3 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-73.

NOTE

När säkerhetsuppdateringen har installerats måste Adobe Commerce B2B-handlare även uppdatera till den senaste kompatibla versionen av B2B-säkerhetsuppdateringen. Se Versionsinformation för B2B.

Högdagrar

Den här versionen innehåller följande högdagrar:

TinyMCE-uppgradering - WYSIWYG-redigeraren i Admin använder nu den senaste versionen av TinyMCE-beroendet (7.3-).
- TinyMCE 7.3 ger en förbättrad användarupplevelse, bättre samarbete och ökad effektivitet. TinyMCE 5 har tagits bort från versionslinjen 2.4.8.
- Eftersom ett säkerhetsproblem (CVE-2024-38357) rapporterades i TinyMCE 5.10, uppgraderades beroendet för alla versionsrader som stöds och inkluderades i alla säkerhetspatchar från oktober 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2.4.5-p10
  - 2.4.4-p11
Require.js-uppgradering - Adobe Commerce använder nu den senaste versionen av Require.js (2.3.7).
- Eftersom ett säkerhetsproblem (CVE-2024-38999) rapporterades i Require.js 2.3.6, uppgraderades beroendet för alla versionsrader som stöds och inkluderades i alla säkerhetspatchar från oktober 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2.4.5-p10
  - 2.4.4-p11

NOTE

Dessa uppdateringar är bakåtkompatibla och bör inte påverka anpassningar och tillägg.

Programfixar som ingår i den här versionen

Den här versionen innehåller en snabbkorrigering som löser ett problem med betalningsgatewayen i Braintree.

Systemet innehåller nu de fält som krävs för att uppfylla kraven för 3DS VISA-mandat när Braintree används som betalningsgateway. Detta säkerställer att alla transaktioner överensstämmer med de senaste säkerhetsstandarderna från VISA. Tidigare ingick inte dessa ytterligare fält i den betalningsinformation som skickades, vilket kunde ha lett till att de nya kraven för VISA inte hade uppfyllts.

2.4.7-p2

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p2 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-61.

Högdagrar

Den här versionen innehåller följande högdagrar:

Hastighetsbegränsning förone-time passwords - Följande nya systemkonfigurationsalternativ finns nu tillgängliga för att aktivera hastighetsbegränsning vid two-factor authentication (2FA) one-time password (OTP) -validering:
- Gräns för nya försök för tvåfaktorsautentisering
- Tvåfaktorautentisering, utelåsningstid (sekunder)
Adobe rekommenderar att man ställer in ett tröskelvärde för tvåfaldig validering av engångslösenord för att begränsa antalet nya försök att mildra brutna attacker. Mer information finns i Säkerhet > 2FA i referenshandboken för konfiguration.
Rotation av krypteringsnyckel - Nu finns ett nytt CLI-kommando tillgängligt för ändring av krypteringsnyckeln. Mer information finns i artikeln Troubleshooting Encryption Key Rotation (Felsökning av krypteringsnyckelrotation): CVE-2024-34102 i kunskapsbasen.
Korrigera för CVE-2020-27511 - Åtgärdar ett Prototype.js säkerhetsproblem.
Korrigera för CVE-2024-39397 - Åtgärdar ett säkerhetslucka för fjärrexekvering av kod. Säkerhetsluckan påverkar handlare som använder webbservern Apache för lokala eller självhanterade distributioner. Den här korrigeringen finns även som en isolerad korrigering. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce - APSB24-61 i kunskapsbasen.

Programfixar som ingår i den här versionen

Den här versionen innehåller följande snabbkorrigeringar:

Snabbkorrigering som åtgärdar ett JavaScript-fel som gjorde att Google Maps inte kunde återges korrekt i PageBuilder -redigeraren. Mer information finns i artikeln Uppdaterade korrigeringsfiler för åtkomstförlust för Google Maps i alla Adobe Commerce-versioner kunskapsbas.
Snabbkorrigering för att lösa ett JSON-valideringsfel (JWT) för CVE-2024-34102. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce-APSB24-40 i kunskapsbasen.

2.4.7-p1

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p1 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-40.

Programfix för CVE-2024-34102

IMPORTANT

Det här är en brådskande uppdatering av vårt senaste meddelande om CVE-2024-34102. Adobe är medvetet om att CVE-2024-34102 har utnyttjats i mycket begränsade attacker mot Adobe Commerce handlare. Åtgärda snabbt problemet, om du inte gjort det.

För kunder som inte har använt säkerhetspatchen som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

Alternativ 1:

Använd en av säkerhetspatcharna som släpptes den 11 juni 2024:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Använd den snabbkorrigering som släpptes 17 juli 2024.
Rotera krypteringsnycklar.

Alternativ 2:

Använd den isolerade korrigeringen.
Rotera krypteringsnycklar.

För kunder som redan har tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

Använd den snabbkorrigering som släpptes 17 juli 2024.
Rotera krypteringsnycklar.

För kunder som redan har 1) tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller 2) den isolerade korrigeringen som släpptes den 28 juni 2024 och 3) roterade sina krypteringsnycklar:

Använd den snabbkorrigering som släpptes 17 juli 2024.

Högdagrar

Den här versionen innehåller följande högdagrar:

Uppdatera inställningarna för engångslösenord (OTP) för Google-autentiseraren-Den här uppdateringen krävs för att åtgärda ett fel som uppstod vid en bakåtkompatibel ändring i 2.4.7. Beskrivningen av fältet OTP Window ger nu en korrekt förklaring av inställningen och standardvärdet har ändrats från 1 till 29.
Kompatibilitet med B2B-versioner - För kompatibilitet med Commerce version 2.4.7-p1 måste handlare som har Adobe Commerce B2B-tillägget uppgradera till B2B version 1.4.2-p1.

Programfixar som ingår i den här versionen

Adobe Commerce 2.4.7-p1 åtgärdar ett fel som introducerats i omfattningen av UPS-integreringsmigreringen från SOAP till REST API. Detta problem påverkade kunder som levererar utanför USA och förhindrade dem från att använda måtten för kilo och centimeter för paket för att skapa leveranser med UPS. Mer information finns i artikeln Migrering av integrering av UPS-leveransmetoder från SOAP till RESTful API i kunskapsbasen.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f