Adobe Commerce 2.4.3安全修补程序的发行说明
这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:
- 安全错误修复
- 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
- 已知问题
- 根据需要应用其他修补程序的说明
- 有关发行版中包含的任何修补程序的信息
了解有关安全修补程序版本的更多信息:
- Adobe Commerce安全修补程序版本概述
- 有关下载和应用安全修补程序版本的说明,请参见升级指南
Adobe Commerce 2.4.3-p3
Adobe Commerce 2.4.3-p3安全版本为以前版本的2.4.3中发现的漏洞提供了安全修复。此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB22-38。
应用AC-3022.patch
以继续将DHL作为装运承运人提供
DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch
,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。
安全性亮点
- ACL资源已添加到清单。
- 增强了清单模板的安全性。
Adobe Commerce 2.4.3-p2
Adobe Commerce 2.4.3-p2安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB22-13。 修补程序版本还解决了由MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip
、MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip
、MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch
和MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch
解决的漏洞。
应用AC-3022.patch
以继续将DHL作为装运承运人提供
DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch
,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。
安全性亮点
-
在2.3.4中,作为降低安全风险的一部分,为了支持更严格的变量语法,已弃用电子邮件变量用法。 此版本中完全删除了此旧版行为,以继续降低安全风险。
因此,在早期版本中有效的电子邮件或新闻稿模板在升级到Adobe Commerce 2.4.3-p2后可能无法正常工作。 受影响的模板包括自定义模块或第三方扩展中的管理员覆盖、主题、子主题和模板。 即使在使用升级兼容性工具修复已弃用的使用之后,您的部署仍可能会受到影响。 请参阅迁移自定义电子邮件模板,以了解有关迁移受影响模板的潜在影响和准则的信息。
-
现在,将OAuth访问令牌和密码重置令牌存储在数据库中时会进行加密。
-
已加强验证,以防止上载非字母数字文件扩展名。
-
当Adobe Commerce处于生产模式时,Swagger现在默认处于禁用状态。
-
开发人员现在可以按端点配置Adobe Commerce RESTful端点接受的阵列大小限制。 查看API安全性。
-
添加了以下机制:限制用户可在系统范围内通过Web API请求的资源大小和数量,以及覆盖单个模块的默认值。 此增强功能解决了
MC-43048__set_rate_limits__2.4.3.patch
解决的问题。 查看API安全性。
2.4.3-p1
Adobe Commerce 2.4.3-p1安全版本为先前版本(Adobe Commerce 2.4.3和Magento Open Source2.4.3)中发现的漏洞修复了安全错误。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB21-86。 此补丁发行版本还为Braintree、Klarna和Vertex供应商开发的扩展提供了错误修复。
应用AC-3022.patch
以继续将DHL作为装运承运人提供
DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch
,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。
修补程序
此版本包含以下修补程序,以及针对之前的修补程序版本发布的所有修补程序。
- 修补程序
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade
。 有关修补程序和问题的信息,请参阅Adobe Commerce升级2.4.3、2.3.7-p1 PHP致命错误修补程序知识库文章。
安全性亮点
会话ID已从数据库 中删除。 如果商家具有使用存储在数据库中的原始会话ID的自定义设置或安装的扩展,则此代码更改可能会导致重大更改。
限制管理员访问媒体集文件夹。 默认媒体集权限现在只允许配置明确允许的目录操作(查看、上传、删除和创建)。 管理员用户无法再通过在catalog/category
或wysiwyg
目录之外上传的媒体集访问媒体资产。 管理员如果想要访问介质资源,必须将其移至明确允许的文件夹或调整其配置设置。 请参阅修改Media Library文件夹权限。
降低了对GraphQL查询复杂性的限制。 GraphQL允许的最大查询复杂性已降低,以防止拒绝服务(DOS)攻击。 查看GraphQL安全配置。
已在此版本中修复了 最近的渗透测试漏洞。
已从内容安全策略frame-ancestors
指令中删除不受支持的源表达式unsafe-inline
。 GitHub-33101