Adobe Commerce APSB22-12可用的安全性更新

NOTE
更新:我們已發現CVE-2022-24086所需的額外安全性保護,並已發佈更新以解決這些問題(CVE-2022-24087)。 此處提供客戶的安全性更新。

Adobe已發佈Adobe Commerce和Magento Open Source的安全性更新。 這些更新解決分級為嚴重的漏洞。 成功利用此漏洞可能會導致執行任意程式碼。

Adobe得知,CVE-2022-24086僅用於針對Adobe Commerce商家的有限攻擊。 Adobe並未發現此更新中解決之問題的任何惡意攻擊(CVE-2022-24087)。

本文提供其他解決方案詳細資訊以修正問題。

受影響的產品和版本

  • Adobe Commerce和Magento Open Source2.3.3-p1 - 2.3.7-p2和2.4.0 - 2.4.3-p1

雲端基礎結構上的Adobe Commerce解決方案

此問題已在雲端修補程式套件v1.0.16中解決。 建議您升級至最新雲端修補程式套件以修正此問題。 最新的雲端修補程式套件將包含先前套件中的所有升級。

在升級至最新的雲端修補程式套件之前,您必須先解除安裝與APSB22-12相關的自訂修補程式。 尤其是MDVA-43395和MDVA-43443修補程式。 請依照下列步驟以執行此操作。

  1. 檢查是否已安裝修補程式MDVA-43395和MDVA-43443。 請依照這些步驟瞭解修補程式是否已套用。
  2. 如果已安裝修補程式,請依照下列步驟解除安裝它們
  3. 若要升級至最新的雲端修補程式套件,請執行以下命令: composer update magento/magento-cloud-patches
  4. 認可並推播composer.lockcomposer.json個檔案。
  5. 重新部署。

適用於Adobe Commerce內部部署和Magento Open Source的解決方案

若要解決您在Adobe Commerce內部部署或Magento Open Source中的弱點,您必須先套用兩個修補程式:MDVA-43395修補程式,然後在其上套用MDVA-43443。

根據您的Adobe Commerce版本,使用以下附加修補程式:

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

如何套用撰寫器修補程式

解壓縮檔案,並遵循如何套用Adobe提供的撰寫器修補程式的指示。

如何判斷是否已套用修補程式 :headding-anchor:how-to-tell-whether-the-patches-have-been-applied

考慮到無法輕易檢查問題是否已修補,您可能想要檢查MDVA-43395和MDVA-43443修補程式是否已成功套用。

您可以透過下列步驟完成此操作:

  1. 安裝品質修補工具
  2. 執行以下命令: vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. 您應該會看到此輸出 — MDVA-43395傳回​ N/A ​狀態,而MDVA-43443傳回​ 已套用 ​狀態:
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

安全性更新

Adobe Commerce可用的安全性更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a