文件CommerceCommerce KB

可用於Adobe Commerce的安全性更新 — APSB24-61

Last update: Tue Aug 13 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

建立對象:

  • 開發人員

2024年8月13日,Adobe發佈了定期排程的Adobe Commerce、Magento Open Source和Adobe Commerce Webhooks外掛程式安全性更新。
此更新解決critical, important和 moderate漏洞。 成功利用此漏洞可能會導致執行任意程式碼、讀取任意檔案系統、略過安全性功能以及提升許可權。 公告是Adobe安全性公告(APSB24-61)

NOTE
以上安全性公告中列出的​ CVE-2024-39397僅適用於使用Apache網頁伺服器。 ​為了協助確保儘快套用此漏洞的補救,Adobe也發行了解決CVE-2024-39397的隔離修補程式。

請儘快套用最新的安全性更新。 若未這麼做,您就容易受到這些安全性問題的攻擊,而Adobe的協助補救方式有限。

NOTE
如果您在套用安全性修補程式/隔離修補程式時遇到任何問題,請連絡支援服務。

受影響的產品和版本

雲端上的Adobe Commerce、Adobe Commerce內部部署和Magento Open Source:

  • 2.4.7-p1和更舊版本
  • 2.4.6-p6和較舊版本
  • 2.4.5-p8和更舊版本
  • 2.4.4-p9及舊版

適用於Adobe Commerce on Cloud、Adobe Commerce內部部署軟體和Magento Open Source的解決方案

若要協助解決受影響產品和版本的弱點,您必須套用CVE-2024-39397獨立修補程式。

隔離的修正程式詳細資訊

使用以下附加的隔離修補程式:

如何套用隔離的修補程式

解壓縮檔案,並參閱我們的支援知識庫中的如何套用Adobe提供的撰寫器修補程式,以取得指示。

僅適用於Adobe Commerce on Cloud商家 — 如何分辨是否已套用隔離的修補程式

考慮到無法輕易檢查問題是否已修補,您可能想要檢查CVE-2024-39397隔離的修補程式是否已成功套用。

您可以執行下列步驟,以檔案VULN-27015-2.4.7_COMPOSER.patch為例

  1. 安裝品質修補工具

  2. 執行命令:

    cve-2024-34102-tell-if-patch-applied-code

  3. 您應該會看到類似以下的輸出,其中VULN-27015傳回​ 已套用 ​狀態:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

安全性更新

Adobe Commerce可用的安全性更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a