可用于Adobe Commerce的安全更新 — APSB24-40
NOTE
**这是与CVE-2024-34102相关的紧急更新。 Adobe知道在针对Adobe Commerce商家的非常有限的攻击中,CVE-2024-34102被恶意利用。
2024年7月17日,除了2024年6月11日的安全更新版本和/或2024年6月28日发布的独立修补程序之外,我们还发布了hotfix。
请检查所有生产和非生产环境,以帮助确保在所有实例上完全修补您的存储区。 请立即执行 操作 以解决漏洞。
NOTE
仅适用于Cloud Markets上的Adobe Commerce:
1。 确保您使用的是最新版本的ECE Tools。 如果不是,请升级(或跳至项目2)。 要检查现有版本,请运行此命令:
2。 如果您已经使用最新版本的ECE Tools,请检查是否存在
3。 无需升级ECE Tools,您还可以在存储库中添加/修改https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ,然后提交更改并重新部署。
1。 确保您使用的是最新版本的ECE Tools。 如果不是,请升级(或跳至项目2)。 要检查现有版本,请运行此命令:
composer show magento/ece-tools
2。 如果您已经使用最新版本的ECE Tools,请检查是否存在
op-exclude.txt
文件。 为此,请运行此命令:ls op-exclude.txt
。如果此文件不存在,请将https://github.com/magento/magento-cloud/blob/master/op-exclude.txt添加到存储库,然后提交更改并重新部署。3。 无需升级ECE Tools,您还可以在存储库中添加/修改https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ,然后提交更改并重新部署。
选项1 — 对于具有 not 的商家,从2024年6月11日开始应用安全更新,或者从2024年6月28日开始应用独立的修补程序
- 应用2024年7月17日发布的hotfix。
- 应用安全修补程序。
- 启用maintenance mode。
- 禁用cron执行(云命令上的Commerce:
vendor/bin/ece-tools cron:disable
)。 - 旋转您的encryption keys。
- 刷新缓存。
- 启用cron执行(云上的Commerce命令:
vendor/bin/ece-tools cron:enable
)。 - 禁用maintenance mode。
或者
- 应用隔离的修补程序。 注意:此版本的隔离修补程序中包含2024年7月17日hotfix。
- 启用maintenance mode。
- 禁用cron执行(云命令上的Commerce:
vendor/bin/ece-tools cron:disable
)。 - 旋转您的encryption keys。
- 刷新缓存。
- 启用cron执行(云上的Commerce命令:
vendor/bin/ece-tools cron:enable
)。 - 禁用maintenance mode。
选项2 — 对于已 1}的商家,从2024年6月11日起应用了安全更新,和/或2024年6月28日发布的独立修补程序
- 应用2024年7月17日发布的hotfix。
- 启用maintenance mode。
- 禁用cron执行(云命令上的Commerce:
vendor/bin/ece-tools cron:disable
)。 - 旋转您的encryption keys。
- 刷新缓存。
- 启用cron执行(云上的Commerce命令:
vendor/bin/ece-tools cron:enable
)。 - 禁用maintenance mode。
选项3 — 对于已 的商家 (1)从2024年6月11日起应用了安全更新,和/或(2)2024年6月28日发布的隔离修补程序,和(3)旋转您的加密密钥
- 应用2024年7月17日发布的修补程序。
NOTE
为确保升级后您仍然安全,您还必须**轮换encryption keys**:
1。 启用maintenance mode。
2。 禁用cron执行(云命令上的Commerce:
3。 旋转您的encryption keys。
4。 启用cron执行(云上的Commerce命令:
5。 禁用maintenance mode。
1。 启用maintenance mode。
2。 禁用cron执行(云命令上的Commerce:
vendor/bin/ece-tools cron:disable
)。3。 旋转您的encryption keys。
4。 启用cron执行(云上的Commerce命令:
vendor/bin/ece-tools cron:enable
)。5。 禁用maintenance mode。
在本篇文章中,您将了解如何在当前及更早版本的Adobe Commerce和Magento Open Source中为此问题实施独立的修补程序。
注意:此版本的隔离修补程序中包含2024年7月17日hotfix。
受影响的产品和版本
云上的Adobe Commerce、内部部署的Adobe Commerce和Magento Open Source:
- 2.4.7-p1及更早版本
- 2.4.6-p6及更低版本
- 2.4.5-p8及更低版本
- 2.4.4-p9及更低版本
适用于Adobe Commerce on Cloud、Adobe Commerce内部部署软件和Magento Open Source的解决方案
为帮助解决受影响产品和版本的漏洞,您必须应用VULN-27015修补程序(取决于您的版本)并轮换encryption keys。
修补程序详细信息 hotfix
- 下载Hotfix AC-12485_Hotfix_COMPOSER_patch.zip
隔离的补丁程序详细信息
注意:此版本的隔离修补程序中包含2024年7月17日hotfix。
根据您的Adobe Commerce/Magento Open Source版本,使用以下附加的修补程序:
对于版本2.4.7、2.4.7-p1:
对于版本2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6:
对于版本2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8:
对于版本2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9:
如何应用隔离的修补程序和hotfix
解压缩文件,并参阅我们的支持知识库中的如何应用Adobe提供的编辑器修补程序以获取说明。
仅适用于Adobe Commerce on Cloud商家 — 如何判断隔离的修补程序是否已应用
考虑到无法轻松检查问题是否已修补,您可能希望检查VULN-27015隔离修补程序是否已成功应用。
您可以执行以下步骤,以文件VULN-27015-2.4.7_COMPOSER.patch
为例:
-
运行命令:
-
您应该会看到类似以下内容的输出,其中VULN-27015返回 已应用 状态:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
应用修补程序后旋转/更改encryption key
- 有关在应用修补程序后如何旋转/更改encryption key的指导 ,请参阅Commerce管理系统指南文档中的管理系统指南: Encryption key。
安全更新
可用于Adobe Commerce的安全更新:
recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a