文档CommerceCommerce KB

可用于Adobe Commerce的安全更新 — APSB24-40

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • undefined
NOTE
**这是与CVE-2024-34102相关的紧急更新。 Adobe知道在针对Adobe Commerce商家的非常有限的攻击中,CVE-2024-34102被恶意利用。

2024年7月17日,除了2024年6月11日的安全更新版本和/或2024年6月28日发布的独立修补程序之外,我们还发布了hotfix。

请检查所有生产和非生产环境,以帮助确保在所有实例上完全修补您的存储区。 请立即执行 操作 以解决漏洞。

NOTE
仅适用于Cloud Markets上的Adobe Commerce

1。 确保您使用的是最新版本的ECE Tools。 如果不是,请升级(或跳至项目2)。 要检查现有版本,请运行此命令:composer show magento/ece-tools
2。 如果您已经使用最新版本的ECE Tools,请检查是否存在op-exclude.txt文件。 为此,请运行此命令:ls op-exclude.txt。如果此文件不存在,请将https://github.com/magento/magento-cloud/blob/master/op-exclude.txt添加到存储库,然后提交更改并重新部署。
3。 无需升级ECE Tools,您还可以在存储库中添加/修改https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ,然后提交更改并重新部署。

选项1 — 对于具有 not 的商家,从2024年6月11日开始应用安全更新,或者从2024年6月28日开始应用独立的修补程序

  1. 应用2024年7月17日发布的hotfix。
  2. 应用安全修补程序。
  3. 启用maintenance mode。
  4. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  5. 旋转您的encryption keys
  6. 刷新缓存。
  7. 启用cron执行(云上的Commerce命令: vendor/bin/ece-tools cron:enable)。
  8. 禁用maintenance mode。

或者

  1. 应用隔离的修补程序。 注意:此版本的隔离修补程序中包含2024年7月17日hotfix。
  2. 启用maintenance mode。
  3. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 旋转您的encryption keys
  5. 刷新缓存。
  6. 启用cron执行(云上的Commerce命令: vendor/bin/ece-tools cron:enable)。
  7. 禁用maintenance mode。

选项2 — 对于已 1}的商家,从2024年6月11日起应用了安全更新,和/或2024年6月28日发布的独立修补程序

  1. 应用2024年7月17日发布的hotfix。
  2. 启用maintenance mode。
  3. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 旋转您的encryption keys
  5. 刷新缓存。
  6. 启用cron执行(云上的Commerce命令: vendor/bin/ece-tools cron:enable)。
  7. 禁用maintenance mode。

选项3 — 对于已 的商家 (1)从2024年6月11日起应用了安全更新,和/或(2)2024年6月28日发布的隔离修补程序,和(3)旋转您的加密密钥

NOTE
为确保升级后您仍然安全,您还必须​**轮换encryption keys**:

1。 启用maintenance mode。
2。 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
3。 旋转您的encryption keys。
4。 启用cron执行(云上的Commerce命令: vendor/bin/ece-tools cron:enable)。
5。 禁用maintenance mode。

在本篇文章中,您将了解如何在当前及更早版本的Adobe Commerce和Magento Open Source中为此问题实施独立的修补程序。
注意:此版本的隔离修补程序中包含2024年7月17日hotfix。

受影响的产品和版本

云上的Adobe Commerce、内部部署的Adobe Commerce和Magento Open Source:

  • 2.4.7及更早版本
  • 2.4.6-p5及更早版本
  • 2.4.5-p7及更早版本
  • 2.4.4-p8及更低版本

适用于Adobe Commerce on Cloud、Adobe Commerce内部部署软件和Magento Open Source的解决方案

为帮助解决受影响产品和版本的漏洞,您必须应用VULN-27015修补程序(取决于您的版本)并轮换encryption keys。

修补程序详细信息 hotfix

隔离的补丁程序详细信息

注意:此版本的隔离修补程序中包含2024年7月17日hotfix。

根据您的Adobe Commerce/Magento Open Source版本,使用以下附加的修补程序:

对于版本2.4.7:

对于版本2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5:

对于版本2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7:

对于版本2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:

如何应用隔离的修补程序和hotfix

解压缩文件,并参阅我们的支持知识库中的如何应用Adobe提供的编辑器修补程序以获取说明。

仅适用于Adobe Commerce on Cloud商家 — 如何判断隔离的修补程序是否已应用

考虑到无法轻松检查问题是否已修补,您可能希望检查VULN-27015隔离修补程序是否已成功应用。

您可以执行以下步骤,以文件VULN-27015-2.4.7_COMPOSER.patch为例

  1. 安装质量修补程序工具

  2. 运行命令:

    cve-2024-34102-tell-if-patch-applied-code

  3. 您应该会看到类似以下内容的输出,其中VULN-27015返回​ 已应用 ​状态:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

应用修补程序后旋转/更改encryption key

安全更新

可用于Adobe Commerce的安全更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a