Adobe Commerce 2.4.5安全修补程序的发行说明

这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

Adobe Commerce 2.4.5-p8

Adobe Commerce 2.4.5-p7安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB24-40.

平台升级

  • MariaDB 10.5支持. 此补丁发行版本引入了与MariaDB版本10.5的兼容性。Adobe Commerce仍与MariaDB版本10.4兼容,但Adobe建议仅在MariaDB版本10.5中使用Adobe Commerce 2.4.5-p8以及所有即将发布的仅支持2.4.5安全的修补程序版本,因为MariaDB 10.4的维护将于2024年6月18日结束。

其他安全增强功能

到目前为止,尚未发生与这些问题相关的已确认攻击。 但是,可能会利用某些漏洞访问客户信息或接管管理员会话。 这些问题中的大多数要求攻击者首先获得对管理员的访问权限。 因此,我们提醒您采取一切必要步骤保护您的管理员,包括但不限于以下工作:

  • IP 列入允许列表
  • 双重身份验证
  • 使用VPN
  • 使用唯一位置,而不是 /admin
  • 良好的密码卫生

此版本的安全性改进改进了与最新安全最佳实践的兼容性。

  • 更改了未生成的缓存键的行为

    • 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成缓存键是通过template指令语法或 setCacheKeysetData 方法。)
    • 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(_)。
  • 对自动生成优惠券代码数量的限制. Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的 Code Quantity Limit 配置选项(Stores > Settings:Configuration > Customers > Promotions),以防止使用大量优惠券使系统不堪重负。

  • 优化默认管理员URL生成流程. 默认管理员URL的生成针对增加的随机性进行了优化,这使得生成的URL更不可预测。

  • 添加了子资源完整性(SRI)支持 以符合PCI 4.0的要求,验证支付页面上的脚本完整性。 子资源完整性(SRI)支持为驻留在本地文件系统中的所有JavaScript资产提供完整性哈希。 默认SRI功能仅在管理员和店面区域的支付页面上实施。 但是,商家可以将默认配置扩展到其他页面。 请参阅 子资源完整性Commerce PHP开发人员指南.

  • 对内容安全策略(CSP)的更改 — 对Adobe Commerce内容安全策略(CSP)进行了配置更新和增强以符合PCI 4.0要求。 有关详细信息,请参阅 内容安全策略Commerce PHP开发人员指南.

    • Commerce管理员和店面区域的付款页面的默认CSP配置现在为 restrict 模式。 对于所有其他页面,默认配置为 report-only 模式。 在低于2.4.7的版本中,CSP配置于 report-only 模式。

    • 添加了一个nonce提供程序,以允许在CSP中执行内联脚本。 nonce提供程序有助于为每个请求生成唯一的nonce字符串。 随后,这些字符串将附加到CSP标头。

    • 添加了用于配置自定义URI以报告“管理员”中“创建订单”页面和“店面”中“结帐”页面的CSP违规的选项。 您可以从管理员添加配置,或通过将URI添加到 config.xml 文件。

      note note
      NOTE
      正在将CSP配置更新到 restrict 模式可能会阻止管理员和店面中付款页面上现有的内联脚本,这会导致页面加载时出现以下浏览器错误: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. 通过更新白名单配置以允许所需的脚本修复这些错误。 请参阅 疑难解答Commerce PHP开发人员指南.
  • 新的全页缓存配置设置可帮助减轻与HTTP相关的风险 {BASE-URL}/page_cache/block/esi 端点。 此端点支持来自Commerce布局句柄和块结构的无限制、动态加载的内容片段。 新 Handles params size 配置设置设置此端点的值 handles 参数,用于确定每个API允许的最大句柄数。 此属性的默认值为100。 商家可以从管理员(Stores > Settings:Configuration > System > Full Page Cache > Handles params size)。 请参阅 配置Commerce应用程序以使用Varnish.

  • 通过REST和GraphQL API传输的支付信息的本机速率限制. 商家现在可以 配置速率限制 ,以了解通过REST和GraphQL传输的付款信息。 此新增的保护层支持对分拣攻击的防范,并可能会减少一次测试多个信用卡号码的分拣攻击的数量。 这是现有REST端点的默认行为的更改。 请参阅 限速.

  • 的默认行为 isEmailAvailable GraphQL查询和(V1/customers/isEmailAvailable) REST端点已更改。 默认情况下,API现在始终返回 true. 商家可以通过设置 启用来宾签出登录 管理员中的选项用于 yes,但这样做可能会将客户信息泄露给未经身份验证的用户。

Adobe Commerce 2.4.5-p7

Adobe Commerce 2.4.5-p7安全版本为以前版本中发现的漏洞提供了安全错误修复。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB24-18.

Adobe Commerce 2.4.5-p6

Adobe Commerce 2.4.5-p6安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB24-03.

安全性亮点

此版本引入了两项重要的安全增强功能:

  • 更改了未生成的缓存键的行为

    • 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成缓存键是通过template指令语法或 setCacheKeysetData 方法。)
    • 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(_)。
  • 对自动生成优惠券代码数量的限制. Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的 Code Quantity Limit 配置选项(Stores > Settings:Configuration > Customers > Promotions),以控制此新限制。

Adobe Commerce 2.4.5-p5

Adobe Commerce 2.4.5-p5安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB23-50.

安全性突出显示

此版本引入了新的全页缓存配置设置,可帮助降低与相关的风险。 {BASE-URL}/page_cache/block/esi HTTP 端点。 此端点支持来自Commerce布局句柄和块结构的无限制、动态加载的内容片段。 新 Handles Param 配置设置设置此端点的值 handles 参数,用于确定每个API允许的最大句柄数。 此属性的默认值为100。 商家可以从管理员(Stores > Settings:Configuration > System > Full Page Cache > Handles Param)。

已知问题

问题:Adobe Commerce显示 校验和错误 编辑器从下载时出错 repo.magento.com,并且包下载中断。 在下载预发行期间提供的发行版软件包时可能会出现此问题,此问题是由重新打包的 magento/module-page-cache 包。

解决方法:在下载过程中看到此错误的商家可以采取以下步骤:

  1. 删除 /vendor 目录(如果存在)。
  2. 运行 bin/magento composer update magento/module-page-cache 命令。 此命令仅更新 page cache 包。

如果校验和问题仍然存在,请删除 composer.lock 文件,然后再重新运行 bin/magento composer update 命令以更新每个包。

Adobe Commerce 2.4.5-p4

Adobe Commerce 2.4.5-p4安全版本为以前版本中发现的漏洞提供了安全错误修复。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB23-42.

应用补丁以解决jQuery-UI库中的安全漏洞CVE-2022-31160

jQuery-UI 库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。运行受影响部署的商户应应用 针对2.4.4、2.4.5和2.4.6版的jQuery UI安全漏洞CVE-2022-31160修复 知识库文章。

Adobe Commerce 2.4.5 - p3

Adobe Commerce 2.4.5-p3安全版本为以前版本中发现的漏洞提供了安全修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。

有关安全错误修复的最新信息,请参阅 Adobe安全公告.

应用补丁以解决jQuery-UI库中的安全漏洞CVE-2022-31160

jQuery-UI 库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。运行受影响部署的商户应应用 针对2.4.4、2.4.5和2.4.6版本的查询UI安全漏洞CVE-2022-31160修复 知识库文章。

安全性突出显示

的默认行为 isEmailAvailable GraphQL查询和(V1/customers/isEmailAvailable) REST端点已更改。 默认情况下,API现在始终返回 true. 商人们可以启用原始行为,即 true 如果电子邮件在数据库中不存在,并且 false 如果它存在。

平台升级

此版本的平台升级可改善对最新安全最佳实践的合规性。

  • 支持Varnish缓存7.3. 此版本与最新版本的Varnish Cache 7.3兼容。与6.0.x和7.2.x版本的兼容性保持不变,但我们建议仅将Adobe Commerce 2.4.5-p3与Varnish Cache版本7.3或版本6.0 LTS一起使用。

  • RabbitMQ 3.11支持. 此版本与最新版本的RabbitMQ 3.11兼容。兼容性保持与RabbitMQ 3.9的兼容,该版本在2023年8月之前受支持,但我们建议仅将Adobe Commerce 2.4.5-p3与RabbitMQ 3.11一起使用。

  • JavaScript库. 过时的JavaScript库已升级到最新的次要版本或修补程序版本,包括 moment.js 库(v2.29.4), jQuery UI 库(v1.13.2),和 jQuery 验证插件库(v1.19.5)。

Adobe Commerce 2.4.5-p2发行说明

Adobe Commerce 2.4.5-p2安全版本为以前版本中发现的漏洞提供了三个安全修复。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB23-17.

Adobe Commerce 2.4.5-p1

Adobe Commerce 2.4.5-p1安全版本为先前版本(Adobe Commerce 2.4.5和Magento Open Source2.4.5)中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅 Adobe安全公告APSB22-48.

其中一项安全错误修复包括创建新的配置设置。 此 电子邮件更改后需要电子邮件确认 通过配置设置,管理员可在管理员用户更改其电子邮件地址时要求确认电子邮件。

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f