其他發行資訊

雖然這些功能的程式碼已隨季度發行套件提供,但其中幾個專案(例如Inventory management和Progressive Web Application (PWA) Studio)也獨立發行。 這些專案的錯誤修正記錄在每個專案檔案中提供的個別專案特定發行資訊中。

反白顯示

請檢視此版本中的下列重點專案:

大幅增強安全性

此版本包含30多項安全性修正和平台安全性改善。

超過30項安全性增強功能,有助於關閉遠端程式碼執行(RCE)和跨網站指令碼(XSS)漏洞

目前尚未發生與這些問題相關的已確認攻擊。 但是,某些漏洞可能會被用來存取客戶資訊或接管管理員工作階段。 這些問題大多需要攻擊者先取得Admin的存取權。 因此,我們提醒您採取一切必要步驟來保護您的管理員,包括但不限於:IP允許清單、雙因素驗證、使用VPN、使用唯一位置而非/admin以及良好的密碼衛生。 請參閱可用於Magento的安全性更新,以取得這些已修正問題的討論。 以討論這些已修正的問題。

其他安全性增強功能

  • 為管理員帳戶、magento.com使用者帳戶和雲端SSH存取實作2FA

    • 保護您的系統管理員帳戶。 現在,管理員需要雙因素驗證(2FA)。 管理員使用者必須先設定其2FA,才能透過UI或網頁API登入管理員。 2FA預設為啟用。 我們強烈建議不要停用2FA模組。 這個額外的驗證步驟使得惡意使用者更難以在未獲得授權的情況下登入Admin。 請參閱雙因素驗證(2FA)

    • 保護您的帳戶。 雙因素驗證(2FA)提供新增的可選安全性層,更能保護您的magento.com帳戶,使未經授權的使用者不會以您不想要的方式使用您的帳戶。 請參閱保護您的帳戶

  • 保護雲端SSH存取。 雲端基礎結構上的Adobe提供多重要素驗證(MFA)強制執行,以管理對雲端環境的SSH存取的驗證需求。 專案預設不會啟用2FA的多重驗證。 Adobe強烈建議啟用此功能。 請聯絡支援以尋求協助。 請參閱為SSH存取啟用多重驗證

  • 範本篩選嚴格模式現在預設為啟用。 在舊模式中使用範本篩選器的元件(包括CMS頁面和區塊)容易受到遠端程式碼執行(RCE)的攻擊。 依預設啟用strict模式可確保不會蓄意啟用RCE攻擊。

  • UI資料提供者的資料呈現現在預設為停用。 這可移除惡意使用者執行任意JavaScript的機會。

  • \Magento\Framework\Escaper類別。 這個類別是提供給負責產生HTML的.phtml範本和PHP類別。 此類別包含與多個內容相關的HTML清理方法。 $escaper區域變數可在.phtml範本內使用,且應取代已棄用的$block->escape{method}來使用。 使用$escaper而非$block,因為$block->escape{method}的使用已被取代。

  • 支援新的security.txt檔案。 此檔案是伺服器上的業界標準檔案,可協助安全性研究人員向網站管理員報告潛在安全性問題。

  • 內容安全性原則(CSP)的增強功能支援SecureHtmlRenderer已新增至框架,且可在.phtml範本中用於白名單內嵌stylescript標籤。 預設CSP設定不允許使用內嵌指令碼和樣式,XML檔案可覆寫這些指令碼和樣式。

注意
從2.3.2版開始,我們將指派並發佈索引式常見漏洞和暴露(CVE)編號,其中會包含外部各方回報給我們的每個安全性錯誤。 這可讓使用者更輕鬆地識別其部署中未解決的漏洞。 您可以在CVE進一步瞭解CVE識別碼。