Adobe Commerce 2.4.4安全修补程序的发行说明
这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:
- 安全错误修复
- 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
- 已知问题
- 根据需要应用其他修补程序的说明
- 有关发行版中包含的任何修补程序的信息
了解有关安全修补程序版本的更多信息:
- Adobe Commerce安全修补程序版本概述
- 有关下载和应用安全修补程序版本的说明,请参见升级指南
2.4.4-p11
Adobe Commerce 2.4.4-p11安全版本为2.4.4以前版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-73。
高亮
此版本包括以下功能亮点:
-
TinyMCE升级 — 管理员中的WYSIWYG编辑器现在使用最新版本的TinyMCE依赖项(7.3)。
-
TinyMCE 7.3提供了增强的用户体验、更好的协作和更高的效率。 TinyMCE 5已在2.4.8发行版中移除。
-
由于TinyMCE 5.10中报告了安全漏洞(CVE-2024-38357),因此当前支持的所有发行行都已升级依赖关系,并且这些依赖关系已包含在所有的2024年10月安全修补程序中:
- 2.4.7 - p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js升级—Adobe Commerce现在使用最新版本的Require.js (2.3.7)。
-
由于Require.js 2.3.6中报告了一个安全漏洞(CVE-2024-38999),因此当前支持的所有版本行均已升级依赖关系,并且所有2024年10月安全修补程序中均包含该依赖关系:
- 2.4.7 - p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
2.4.4-p10
Adobe Commerce 2.4.4-p10安全版本为2.4.4以前版本中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-61。
高亮
此版本包括以下功能亮点:
-
one-time passwords 的速率限制 — 以下新的系统配置选项现在可用于在two-factor authentication (2FA) one-time password (OTP)验证中启用速率限制:
- 对双重身份验证进行 重试尝试限制
- 双重身份验证锁定时间(秒)
Adobe建议为2FA OTP验证设置阈值,以限制重试尝试的次数,从而缓解暴力攻击。 有关详细信息,请参阅 配置参考指南 中的安全性> 2FA。
-
加密密钥轮替 — 现在可以使用新的CLI命令更改您的加密密钥。 有关详细信息,请参阅Troubleshooting Encryption Key Rotation: CVE-2024-34102知识库文章。
-
修复CVE-2020-27511 — 解决了Prototype.js安全漏洞。
-
修复CVE-2024-39397 — 解决远程代码执行安全漏洞。 此漏洞会影响使用Apache Web Server进行内部部署或自托管部署的商家。 此修复还作为独立修补程序提供。 有关详细信息,请参阅Adobe Commerce可用的安全更新 — APSB24-61知识库文章。
此版本中包含的修补程序
此版本包含以下修补程序:
-
用于解决导致Google映射无法在 PageBuilder 编辑器中正确呈现的JavaScript错误的修补程序。 有关详细信息,请参阅所有Adobe Commerce版本上的Google映射的修订修补程序访问丢失知识库文章。
-
修复了与CVE-2024-34102相关的JSON Web令牌(JWT)验证问题。 有关详细信息,请参阅Adobe Commerce-APSB24-40🔗知识库文章中提供的安全更新。
2.4.4 - p9
Adobe Commerce 2.4.4-p9安全版本为以前版本的2.4.4中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-40。
应用适用于CVE-2024-34102的修补程序
对于尚未应用2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:
选项1:
选项2:
对于已经应用了2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:
对于已经应用了1)2024年6月11日发布的安全补丁程序的客户,或2)2024年6月28日发布的独立补丁程序的客户,以及3)轮换其加密密钥的客户:
- 应用2024年7月17日发布的修补程序。
平台升级
- MariaDB 10.5支持。 此补丁发行版本引入了与MariaDB版本10.5的兼容性。Adobe Commerce仍与MariaDB版本10.4兼容,但Adobe建议仅在MariaDB版本10.5中使用Adobe Commerce 2.4.4-p9以及所有即将发布的仅支持2.4.4安全的修补程序版本,因为MariaDB 10.4的维护将于2024年6月18日结束。
高亮
-
添加了Subresource Integrity (SRI)支持 以符合PCI 4.0要求验证支付页面上的脚本完整性。 子资源完整性(SRI)支持为驻留在本地文件系统中的所有JavaScript资源提供完整性哈希。 默认SRI功能仅在管理员和店面区域的支付页面上实施。 但是,商家可以将默认配置扩展到其他页面。 请参阅 Commerce PHP开发人员指南.中的子资源完整性
-
对内容安全策略(CSP)的更改 — 对Adobe Commerce内容安全策略(CSP)的配置更新和增强以符合PCI 4.0要求。 有关详细信息,请参阅 Commerce PHP Developer Guide 中的内容安全策略。
-
Commerce管理员和店面区域的付款页面的默认CSP配置现在为
restrict
模式。 对于所有其他页面,默认配置为report-only
模式。 在低于2.4.7的版本中,CSP在所有页面中均配置为report-only
模式。 -
添加了一个nonce提供程序,以允许在CSP中执行内联脚本。 nonce提供程序有助于为每个请求生成唯一的nonce字符串。 随后,这些字符串将附加到CSP标头。
-
添加了用于配置自定义URI以报告“管理员”中“创建订单”页面和“店面”中“结帐”页面的CSP违规的选项。 您可以从管理员添加配置,或通过将URI添加到
config.xml
文件来添加。note note NOTE 将CSP配置更新为 restrict
模式可能会阻止管理员和店面中付款页面上现有的内联脚本,这会导致页面加载时出现以下浏览器错误:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src
。 通过更新白名单配置以允许所需的脚本修复这些错误。 请参阅_Commerce PHP开发人员指南_中的疑难解答。
-
2.4.4-p8
Adobe Commerce 2.4.4-p8安全版本为Adobe Commerce 2.4.4部署提供了安全错误修复。 这些更新修复了以前版本中发现的漏洞。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-18。
2.4.4-p7
Adobe Commerce 2.4.4-p7安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-03。
高亮
此版本引入了两项重要的安全增强功能:
-
更改未生成的缓存键的行为:
- 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或
setCacheKey
或setData
方法设置的键。) - 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(_)。
- 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或
-
自动生成的优惠券代码数量的限制。 Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的 Code Quantity Limit 配置选项(Stores > Settings:Configuration > Customers > Promotions)来控制此新限制。
2.4.4-p6
Adobe Commerce 2.4.4-p6安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-50。
此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
高亮
此版本引入了新的全页缓存配置设置,可帮助减轻与{BASE-URL}/page_cache/block/esi HTTP
端点相关的风险。 此端点支持来自Commerce布局句柄和块结构的无限制、动态加载的内容片段。 新的 Handles Param 配置设置设置此端点的handles
参数的值,该值确定每个API允许的最大句柄数。 此属性的默认值为100。 商家可以从管理员(Stores > Settings: Configuration > System > Full Page Cache > Handles Param)更改此值。
已知问题
问题: Adobe Commerce在Composer从repo.magento.com
下载期间显示 错误校验和 错误,包下载被中断。 在下载预发行期间提供的发行版包时,可能会出现此问题,这是由于重新打包magento/module-page-cache
包导致的。
解决方法:在下载过程中看到此错误的商家可以采取以下步骤:
- 删除项目中的
/vendor
目录(如果存在)。 - 运行
bin/magento composer update magento/module-page-cache
命令。 此命令仅更新page cache
包。
如果校验和问题仍然存在,请先删除composer.lock
文件,然后再重新运行bin/magento composer update
命令以更新每个包。
2.4.4 - p5
Adobe Commerce 2.4.4-p5安全版本为以前版本中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-42。
应用适用于CVE-2022-31160的修补程序
jQuery-UI
库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。运行受影响部署的商户应应用针对2.4.4、2.4.5和2.4.6版本🔗知识库文章的jQuery UI安全漏洞CVE-2022-31160修复中指定的修补程序。
2.4.4-p4
Adobe Commerce 2.4.4-p4安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强和平台升级,以改进对最新安全最佳实践的合规性。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-35。
应用适用于CVE-2022-31160的修补程序
jQuery-UI
库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。运行受影响部署的商户应应用针对2.4.4、2.4.5和2.4.6版本🔗知识库文章的jQuery UI安全漏洞CVE-2022-31160修复中指定的修补程序。
高亮
isEmailAvailable
GraphQL查询和(V1/customers/isEmailAvailable
) REST端点的默认行为已更改。 默认情况下,API现在始终返回true
。 商家可以启用原始行为,如果数据库中不存在电子邮件,则返回true
;如果存在,则返回false
。
平台升级
此版本的平台升级可改善对最新安全最佳实践的合规性。
-
清漆缓存7.3支持。 此版本与最新版本的Varnish Cache 7.3兼容。与6.0.x和7u.2.x版本的兼容性保持不变,但Adobe建议仅将Adobe Commerce 2.4.4-p4与Varnish Cache版本7.3或版本6.0 LTS一起使用。
-
RabbitMQ 3.11支持。 此版本与最新版本的RabbitMQ 3.11兼容。兼容性保持与RabbitMQ 3.9的兼容,该版本在2023年8月之前受支持,但Adobe建议仅将Adobe Commerce 2.4.4-p4与RabbitMQ 3.11一起使用。
-
JavaScript库。 过时的JavaScript库已升级到最新的次要或修补程序版本,包括
moment.js
库(v2.29.4)、jQuery UI
库(v1.13.2)和jQuery
验证插件库(v1.19.5)。
2.4.4 - p3
Adobe Commerce 2.4.4-p3安全版本为以前版本中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-17。
2.4.4 - p2
Adobe Commerce 2.4.4-p2安全版本修复了以前版本中发现的漏洞。 一种修复包括创建新的配置设置。 如果电子邮件已更改,需要电子邮件确认 配置设置允许管理员用户在更改其电子邮件地址时要求电子邮件确认。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB22-48。
应用AC-3022.patch以继续将DHL作为运输运营商
DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch
,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。
2.4.4-p1
Adobe Commerce 2.4.4-p1安全版本修复了以前版本中发现的漏洞。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。
有关安全错误修复的最新信息,请参阅Adobe安全公告。t
应用AC-3022.patch
以继续将DHL作为装运承运人提供
DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch
,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为发运运营商提供知识库文章。
高亮
此版本的安全改进改进了与最新安全最佳实践的符合性,包括:
- ACL资源已添加到清单。
- 增强了清单模板的安全性。
已知问题
问题:在2.4.4-p1包上运行时,Web API和集成测试显示此错误: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69
。 解决方法:通过运行require monolog/monolog:2.6.0
命令安装早期版本的Monolog。
问题:商家在从Adobe Commerce 2.4.4升级到Adobe Commerce 2.4.4-p1的过程中可能会注意到包版本降级通知。 可以忽略这些消息。 包版本中的差异是由于包生成期间出现异常造成的。 没有产品功能受到影响。 有关受影响的方案和变通方法的讨论,请参阅从2.4.4升级到2.4.4-p1🔗知识库文章后降级的包。