文件CommerceCommerce KB

可用於Adobe Commerce的安全性更新 — APSB24-40

Last update: Fri Sep 27 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

建立對象:

  • 開發人員
NOTE
**這是與CVE-2024-34102相關的緊急更新。 Adobe知道在針對Adobe Commerce商戶的非常有限的攻擊中,CVE-2024-34102已被惡意利用。

除了2024年6月11日的安全性更新發行和/或2024年6月28日發行的獨立修補程式之外,我們在2024年7月17日發行了hotfix。

請檢查所有生產和非生產環境,以協助確保您的商店在所有執行個體上皆已完整修正。 請立即執行 動作 以解決漏洞。

NOTE
僅適用於Adobe Commerce on Cloud商家

1。 請確定您使用最新版本的ECE Tools。 如果您尚未升級,請升級(或跳至專案2)。 若要檢查您現有的版本,請執行此命令:composer show magento/ece-tools
2。 如果您已經使用最新版的ECE Tools,請檢查op-exclude.txt檔案是否存在。 若要這麼做,請執行此命令: ls op-exclude.txt。如果此檔案不存在,請新增https://github.com/magento/magento-cloud/blob/master/op-exclude.txt至您的存放庫,然後確認變更並重新部署。
3。 不必升級ECE Tools,您也可以在存放庫中新增/修改https://github.com/magento/magento-cloud/blob/master/op-exclude.txt,然後確認變更並重新部署。

選項1 — 針對擁有 not 的商家,自2024年6月11日起已套用安全性更新,或自2024年6月28日起發行的獨立修補程式

  1. 套用2024年7月17日發行的hotfix。
  2. 套用安全性修補程式。
  3. 啟用maintenance mode。
  4. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  5. 旋轉您的encryption keys
  6. 排清快取。
  7. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  8. 停用maintenance mode。

  1. 套用隔離的修補程式。 注意:此版本的隔離修補程式包含2024年7月17日的hotfix。
  2. 啟用maintenance mode。
  3. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 旋轉您的encryption keys
  5. 排清快取。
  6. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  7. 停用maintenance mode。

選項2 — 適用於已 從2024年6月11日起套用安全性更新和/或2024年6月28日發行的獨立修補程式的商家

  1. 套用2024年7月17日發行的hotfix。
  2. 啟用maintenance mode。
  3. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 旋轉您的encryption keys
  5. 排清快取。
  6. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  7. 停用maintenance mode。

選項3 — 適用於已 從2024年6月11日起 (1)套用安全性更新的商家,及/或(2)2024年6月28日發行的隔離修補程式,及(3)旋轉您的加密金鑰

  • 套用2024年7月17日發行的Hotfix
NOTE
為了確保升級後您仍然安全,您也必須​**旋轉您的encryption keys**:

1。 啟用maintenance mode。
2。 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
3。 旋轉您的encryption keys。
4。 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
5。 停用maintenance mode。

在本文章中,您將瞭解如何針對目前和舊版Adobe Commerce和Magento Open Source實施此問題的獨立修補程式。
注意:此版本的隔離修補程式包含2024年7月17日的hotfix。

受影響的產品和版本

雲端上的Adobe Commerce、內部部署的Adobe Commerce和Magento Open Source:

  • 2.4.7-p1和更舊版本
  • 2.4.6-p6和較舊版本
  • 2.4.5-p8和更舊版本
  • 2.4.4-p9及舊版

適用於Adobe Commerce on Cloud、Adobe Commerce內部部署軟體和Magento Open Source的解決方案

若要協助解決受影響產品和版本的弱點,您必須套用VULN-27015修補程式(視您的版本而定)並輪換encryption keys。

Hotfix詳細資料 hotfix

隔離的修正程式詳細資訊

注意:此版本的隔離修補程式包含2024年7月17日的hotfix。

根據您的Adobe Commerce/Magento Open Source版本,使用以下附加修補程式:

若為2.4.7版:

若為版本2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5:

若為版本2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7:

若為版本2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:

如何套用隔離的修補程式和hotfix

解壓縮檔案,並參閱我們的支援知識庫中的如何套用Adobe提供的撰寫器修補程式,以取得指示。

僅適用於Adobe Commerce on Cloud商家 — 如何判斷已套用隔離的修補程式

考慮到無法輕易檢查問題是否已修補,您可能想要檢查VULN-27015隔離的修補程式是否已成功套用。

您可以執行下列步驟,以檔案VULN-27015-2.4.7_COMPOSER.patch為例

  1. 安裝品質修補工具

  2. 執行命令:

    cve-2024-34102-tell-if-patch-applied-code

  3. 您應該會看到類似以下的輸出,其中VULN-27015傳回​ 已套用 ​狀態:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

套用修補程式後旋轉/變更encryption key

如需在套用修補程式後如何輪換/變更encryption key的指引​ ,請參閱Commerce管理系統指南檔案中的管理系統指南: Encryption key

有關保護存放區和旋轉加密金鑰的其他指導

如需有關CVE-2024-34102保護存放區及旋轉加密金鑰的其他指引,請參閱保護存放區及旋轉加密金鑰的指引: CVE-2024-34102,同樣位於Adobe Commerce知識庫。

安全性更新

Adobe Commerce可用的安全性更新:

相關閱讀

在Adobe Commerce安裝指南中啟用或停用maintenance mode

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a