文档Commerce发行信息

Adobe Commerce 2.4.7安全修补程序的发行说明

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • 有经验的
  • 管理员
  • 开发人员

这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

2.4.7 - p3

Adobe Commerce 2.4.7-p3安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-73

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • TinyMCE升级 — 管理员中的WYSIWYG编辑器现在使用最新版本的TinyMCE依赖项(7.3​)。

    • TinyMCE 7.3提供了增强的用户体验、更好的协作和更高的效率。 TinyMCE 5已在2.4.8发行版中移除​。

    • 由于TinyMCE 5.10中报告了安全漏洞(CVE-2024-38357),因此当前支持的所有发行行都已升级依赖关系,并且这些依赖关系已包含在所有的2024年10月安全修补程序中:

      • 2.4.7 - p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js升级—Adobe Commerce现在使用最新版本的Require.js (2.3.7)。

    • 由于Require.js 2.3.6中报告了一个安全漏洞(CVE-2024-38999),因此当前支持的所有版本行均已升级依赖关系,并且所有2024年10月安全修补程序中均包含该依赖关系:

      • 2.4.7 - p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
这些更新向后兼容,并且不会影响自定义项和扩展​。

此版本中包含的修补程序

此版本包含用于解决Braintree支付网关问题的修补程序。

在使用Braintree作为支付网关时,该系统现在包括满足3DS VISA授权要求的必要字段。 这可确保所有交易都符合VISA设置的最新安全标准。 以前,这些附加字段未包含在发送的支付信息中,这可能导致不遵守新的VISA要求。

2.4.7 - p2

Adobe Commerce 2.4.7-p2安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-61

高亮

此版本包括以下功能亮点:

  • one-time passwords ​的速率限制 — 以下新的系统配置选项现在可用于在two-factor authentication (2FA) one-time password (OTP)验证中启用速率限制:

    • 对双重身份验证进行​ 重试尝试限制
    • 双重身份验证锁定时间(秒)

    Adobe建议为2FA OTP验证设置阈值,以限制重试尝试的次数,从而缓解暴力攻击。 有关详细信息,请参阅​ 配置参考指南 ​中的安全性> 2FA

  • 加密密钥轮替 — 现在可以使用新的CLI命令更改您的加密密钥。 有关详细信息,请参阅Troubleshooting Encryption Key Rotation: CVE-2024-34102知识库文章。

  • 修复CVE-2020-27511 — 解决了Prototype.js安全漏洞。

  • 修复CVE-2024-39397 — 解决远程代码执行安全漏洞。 此漏洞会影响使用Apache Web Server进行内部部署或自托管部署的商家。 此修复还作为独立修补程序提供。 有关详细信息,请参阅Adobe Commerce可用的安全更新 — APSB24-61知识库文章。

此版本中包含的修补程序

此版本包含以下修补程序:

  • 用于解决导致Google映射无法在​ PageBuilder ​编辑器中正确呈现的JavaScript错误的修补程序。 有关详细信息,请参阅所有Adobe Commerce版本上的Google映射的修订修补程序访问丢失知识库文章。

  • 修复了与CVE-2024-34102相关的JSON Web令牌(JWT)验证问题。 有关详细信息,请参阅Adobe Commerce-APSB24-40🔗知识库文章中提供的安全更新。

2.4.7 - p1

Adobe Commerce 2.4.7-p1安全版本修复了2.4.7早期版本中发现的漏洞。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-40

应用适用于CVE-2024-34102的修补程序

IMPORTANT
这是有关CVE-2024-34102的上次通信的紧急更新。 Adobe知道,CVE-2024-34102在针对Adobe Commerce商人的非常有限的攻击中被利用。 立即采取措施解决此漏洞(如果尚未这样做)。

对于尚未应用2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:

选项1:

  1. 应用2024年6月11日发布的其中一个安全修补程序:

  2. 应用2024年7月17日发布的修补程序

  3. 旋转加密密钥。

选项2:

  1. 应用隔离的修补程序

  2. 旋转加密密钥。

对于已经应用了2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:

  1. 应用2024年7月17日发布的修补程序

  2. 旋转加密密钥。

对于已经应用了1)2024年6月11日发布的安全补丁程序的客户,或2)2024年6月28日发布的独立补丁程序的客户,以及3)轮换其加密密钥的客户:

  1. 应用2024年7月17日发布的修补程序

高亮

此版本包括以下功能亮点:

  • 更新Google Authenticator的一次性密码(OTP)设置 — 需要此更新才能解决2.4.7中向后不兼容的更改导致的错误。OTP Window ​字段的描述现在提供了设置的准确解释,默认值已从1更改为29

  • B2B版本兼容性 — 要与Commerce版本2.4.7-p1兼容,具有Adobe Commerce B2B扩展的商家必须升级到B2B版本1.4.2-p1

此版本中包含的修补程序

Adobe Commerce 2.4.7-p1解决了从SOAP迁移到REST API的UPS集成过程中出现的问题。 此问题会影响从美国境外发运的客户,并阻止他们使用公制系统/SI测量值(即包装的公斤和厘米)来创建与UPS的发运。 有关详细信息,请参阅UPS配送方式集成从SOAP迁移到RESTful API知识库文章。

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f