文档

Adobe Commerce有安全更新 — APSB24-40

Last update: Tue Jul 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

注意 **这是与CVE-2024-34102相关的紧急更新。 Adobe知道,CVE-2024-34102在针对Adobe Commerce商人的非常有限的攻击中被利用。

2024年7月17日,除了2024年6月11日发布的安全更新和/或2024年6月28日发布的独立修补程序之外,我们还发布了修补程序。

请检查所有生产和非生产环境,以帮助确保在所有实例上完全修补您的存储区。 请立即采取措施解决此漏洞。

注意:仅适用于Cloud Markets上的Adobe Commerce:

  1. 确保您使用的是最新版本的ECE工具。 如果不是,请升级(或跳至项目2)。 要检查现有版本,请运行此命令: composer show magento/ece-tools
  2. 如果您已经使用最新版本的ECE工具,请检查是否存在op-exclude.txt文件。 为此,请运行此命令: ls op-exclude.txt。 如果此文件不存在,请将https://github.com/magento/magento-cloud/blob/master/op-exclude.txt添加到存储库,然后提交更改并重新部署。
  3. 无需升级ECE工具,您还可以在存储库中添加/修改https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ,然后提交更改并重新部署。

选项1 — 适用于从2024年6月11日起未应用安全更新的商家,也适用于2024年6月28日发布的独立修补程序

  1. 应用2024年7月17日发布的修补程序。
  2. 应用安全修补程序。
  3. 启用维护模式。
  4. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  5. 旋转加密密钥
  6. 刷新缓存。
  7. 启用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  8. 禁用维护模式。

  1. 应用隔离的修补程序。 注意 此版本的隔离修补程序包含2024年7月17日的修补程序。
  2. 启用维护模式。
  3. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 旋转加密密钥
  5. 刷新缓存。
  6. 启用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  7. 禁用维护模式。

选项2 — 适用于已从2024年6月11日应用安全更新和/或2024年6月28日发布的独立修补程序的商家

  1. 应用2024年7月17日发布的修补程序。
  2. 启用维护模式。
  3. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 旋转加密密钥
  5. 刷新缓存。
  6. 启用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  7. 禁用维护模式。

选项3 — 适用于已(1)应用了从2024年6月11日起的安全更新,和/或(2)已于2024年6月28日发布的独立修补程序和(3)轮换了加密密钥的商家

注意:为确保升级后您仍然安全,还必须旋转加密密钥:

  1. 启用维护模式。
  2. 禁用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  3. 旋转加密密钥。
  4. 启用cron执行(云命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  5. 禁用维护模式。

在本文中,您将了解如何为Adobe Commerce和Magento Open Source的当前版本及早期版本实施针对此问题的独立修补程序。

注意 此版本的隔离修补程序包含2024年7月17日的修补程序。

描述 description

受影响的产品和版本

Adobe Commerce on Cloud、Adobe Commerce on-premise和Magento Open Source:

  • 2.4.7-p1及更早版本
  • 2.4.6-p6及更低版本
  • 2.4.5-p8及更低版本
  • 2.4.4-p9及更低版本

解决方法 resolution

适用于Adobe Commerce on Cloud、Adobe Commerce内部部署软件和Magento Open Source的解决方案

为帮助解决受影响产品和版本的漏洞,您必须应用VULN-27015修补程序(取决于您的版本)并旋转加密密钥。

修补程序详细信息

隔离的补丁程序详细信息

注意 此版本的隔离修补程序包含2024年7月17日的修补程序。

根据您的Adobe Commerce/Magento Open Source版本,使用以下附加的修补程序:

对于版本2.4.7:

对于版本2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5:

对于版本2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7:

对于版本2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:

如何应用隔离的补丁程序和修补程序

解压缩文件,并在我们的支持知识库中参阅如何应用Adobe提供的编辑器修补程序获取相关说明。

仅适用于Adobe Commerce on Cloud商家 — 如何判断隔离的修补程序是否已应用

考虑到无法轻松检查问题是否已修补,您可能希望检查VULN-27015隔离修补程序是否已成功应用。

为此,您可以使用文件VULN-27015-2.4.7_COMPOSER.patch作为示例,执行以下步骤:

  1. 安装Quality Patches工具

  2. 运行命令: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. 您应会看到类似于以下内容的输出,其中VULN-27015返回   已应用 ​状态:

    table 0-row-6 1-row-6
    ID 标题 类别 来源 状态 详细信息
    不适用 …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch 其他 本地 已应用 修补程序类型:自定义

应用修补程序后轮换/更改加密密钥

有关在应用修补程序后如何旋转/更改加密密钥的指导 ,请参阅 Commerce Admin Systems Guide文档中的管理员系统指南:加密密钥

有关保护存储安全和旋转加密密钥的其他指导

有关CVE-2024-34102如何保护存储区和旋转加密密钥的其他指导,请参阅有关保护存储区和旋转加密密钥的指导:CVE-2024-34102,同样位于Adobe Commerce知识库中。

安全更新

可用于Adobe Commerce的安全更新:

相关阅读

在《Adobe Commerce安装指南》中启用或禁用维护模式

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f