Adobe Commerce 2.4.3安全修补程序的发行说明

这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

Adobe Commerce 2.4.3-p3

Adobe Commerce 2.4.3-p3安全版本为以前版本的2.4.3中发现的漏洞提供了安全修复。此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB22-38

应用AC-3022.patch以继续将DHL作为装运承运人提供

DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。

安全性亮点

  • ACL资源已添加到清单。
  • 增强了清单模板的安全性。

Adobe Commerce 2.4.3-p2

Adobe Commerce 2.4.3-p2安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB22-13。 修补程序版本还解决了由MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zipMDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zipMDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patchMDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch解决的漏洞。

应用AC-3022.patch以继续将DHL作为装运承运人提供

DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。

安全性亮点

  • 在2.3.4中,作为降低安全风险的一部分,为了支持更严格的变量语法,已弃用电子邮件变量用法。 此版本中完全删除了此旧版行为,以继续降低安全风险。

    因此,在早期版本中有效的电子邮件或新闻稿模板在升级到Adobe Commerce 2.4.3-p2后可能无法正常工作。 受影响的模板包括自定义模块或第三方扩展中的管理员覆盖、主题、子主题和模板。 即使在使用升级兼容性工具修复已弃用的使用之后,您的部署仍可能会受到影响。 请参阅迁移自定义电子邮件模板,以了解有关迁移受影响模板的潜在影响和准则的信息。

  • 现在,将OAuth访问令牌和密码重置令牌存储在数据库中时会进行加密。

  • 已加强验证,以防止上载非字母数字文件扩展名。

  • 当Adobe Commerce处于生产模式时,Swagger现在默认处于禁用状态。

  • 开发人员现在可以按端点配置Adobe Commerce RESTful端点接受的阵列大小限制。 查看API安全性

  • 添加了以下机制:限制用户可在系统范围内通过Web API请求的资源大小和数量,以及覆盖单个模块的默认值。 此增强功能解决了MC-43048__set_rate_limits__2.4.3.patch解决的问题。 查看API安全性

2.4.3-p1

Adobe Commerce 2.4.3-p1安全版本为先前版本(Adobe Commerce 2.4.3和Magento Open Source2.4.3)中发现的漏洞修复了安全错误。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB21-86。 此补丁发行版本还为BraintreeKlarnaVertex供应商开发的扩展提供了错误修复。

应用AC-3022.patch以继续将DHL作为装运承运人提供

DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。

修补程序

此版本包含以下修补程序,以及针对之前的修补程序版本发布的所有修补程序。

安全性亮点

会话ID已从数据库 ​中删除。 如果商家具有使用存储在数据库中的原始会话ID的自定义设置或安装的扩展,则此代码更改可能会导致重大更改。

限制管理员访问媒体集文件夹。 默认媒体集权限现在只允许配置明确允许的目录操作(查看、上传、删除和创建)。 管理员用户无法再通过在catalog/categorywysiwyg目录之外上传的媒体集访问媒体资产。 管理员如果想要访问介质资源,必须将其移至明确允许的文件夹或调整其配置设置。 请参阅修改Media Library文件夹权限

降低了对GraphQL查询复杂性的限制。 GraphQL允许的最大查询复杂性已降低,以防止拒绝服务(DOS)攻击。 查看GraphQL安全配置

已在此版本中修复了​ 最近的渗透测试漏洞

已从内容安全策略frame-ancestors指令中删除不受支持的源表达式unsafe-inlineGitHub-33101

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f