文件Commerce發行資訊

Adobe Commerce 2.4.4安全性修補程式的發行說明

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:

建立對象:

  • 經驗豐富
  • 管理員
  • 開發人員

這些安全性修補程式發行說明會擷取更新,以增強Adobe Commerce部署的安全性。 資訊包括但不限於:

  • 安全性錯誤修正
  • 安全性重點專案,提供安全性修補程式中所包含增強功能和更新的詳細資訊
  • 已知問題
  • 視需要套用其他修補程式的指示
  • 此發行版本包含的任何修補程式的相關資訊

深入瞭解安全性修補程式發行版本:

2.4.4-p11

Adobe Commerce 2.4.4-p11安全性版本針對2.4.4舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-73

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

  • TinyMCE升級 — 管理員中的WYSIWYG編輯器現在使用最新版本的TinyMCE相依性(7.3​)。

    • TinyMCE 7.3提供更優異的使用者體驗、更出色的協同合作,以及更高的效率。 TinyMCE 5已在2.4.8版本行中移除​。

    • 由於TinyMCE 5.10中報告安全性弱點(CVE-2024-38357),因此目前支援的所有發行版本系列也升級了相依性,並包含在所有的2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js升級—Adobe Commerce現在使用最新版Require.js (2.3.7)。

    • 由於Require.js 2.3.6中報告有安全性弱點(CVE-2024-38999),因此目前支援的所有發行版本行也升級了相依性,並包含在所有2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
這些更新可回溯相容,且不會影響自訂專案和擴充功能​。

2.4.4-p10

Adobe Commerce 2.4.4-p10安全性版本針對2.4.4舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-61

反白顯示

此版本包含下列重點專案:

  • one-time passwords ​的速率限制 — 下列新的系統組態選項現在可用於在two-factor authentication (2FA) one-time password (OTP)驗證上啟用速率限制:

    • 雙因素驗證的重試限制
    • 雙因素驗證鎖定時間(秒)

    Adobe建議設定2FA OTP驗證的臨界值,以限制重試嘗試的次數,減少暴力攻擊。 如需詳細資訊,請參閱​ 組態參考指南 ​中的安全性> 2FA

  • 加密金鑰輪換 — 現在有新的CLI命令可用來變更您的加密金鑰。 如需詳細資訊,請參閱疑難排解加密金鑰輪換: CVE-2024-34102知識庫文章。

  • 修正CVE-2020-27511 — 解決Prototype.js安全性弱點。

  • 修正CVE-2024-39397 — 解決遠端程式碼執行安全性弱點。 此弱點會影響使用Apache Web Server進行內部部署或自行託管部署的商家。 此修正也可作為獨立修補程式使用。 檢視可用於Adobe Commerce的安全性更新 — APSB24-61知識庫文章以取得詳細資料。

此版本中包含的Hotfix

此版本包含下列Hotfix:

  • 解決JavaScript錯誤(導致Google Map無法在​ PageBuilder ​編輯器中正確呈現)的Hotfix。 如需詳細資訊,請參閱所有Adobe Commerce版本知識庫文章中Google地圖存取遺失的修訂修補程式。

  • 解決與CVE-2024-34102相關的JSON Web權杖(JWT)驗證問題的Hotfix。 如需詳細資訊,請參閱Adobe Commerce-APSB24-40🔗知識庫文章中可用的安全性更新。

2.4.4 - p9

Adobe Commerce 2.4.4-p9安全性版本針對2.4.4先前版本中發現的弱點提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-40

套用CVE-2024-34102的Hotfix

IMPORTANT
這是我們上次關於CVE-2024-34102通訊的緊急更新。 Adobe得知,CVE-2024-34102在針對Adobe Commerce商家的非常有限的攻擊中被瘋狂利用。 如果您尚未解決此問題,請立即採取行動。

對於尚未套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

選項1:

  1. 套用2024年6月11日發行的其中一個安全性修補程式:

  2. 套用2024年7月17日發行的Hotfix

  3. 旋轉加密金鑰。

選項2:

  1. 套用隔離的修補程式

  2. 旋轉加密金鑰。

對於已套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

  1. 套用2024年7月17日發行的Hotfix

  2. 旋轉加密金鑰。

針對已套用1)於2024年6月11日發行的安全性修補程式的客戶,或2)於2024年6月28日發行的隔離修補程式,以及3)輪換其加密金鑰的客戶:

  1. 套用2024年7月17日發行的Hotfix

平台升級

  • MariaDB 10.5支援。 此修補程式發行版本引入與MariaDB 10.5版的相容性。Adobe Commerce仍與MariaDB 10.4版相容,但Adobe建議使用Adobe Commerce 2.4.4-p9以及所有即將發行的2.4.4僅限安全性修補程式版本,僅與MariaDB 10.5版相容,因為MariaDB 10.4維護作業將於2024年6月18日結束。

反白顯示

  • 已新增子資源完整性(SRI)支援,以符合PCI 4.0對驗證付款頁面上指令碼完整性的要求。 子資源完整性(SRI)支援為駐留在本機檔案系統中的所有JavaScript資產提供完整性雜湊。 預設SRI功能僅在管理員和店面區域的付款頁面上實作。 不過,商家可以將預設設定延伸至其他頁面。 請參閱​ Commerce PHP開發人員指南.中的子資源完整性

  • 內容安全性原則(CSP)的變更—Adobe Commerce內容安全性原則(CSP)的組態更新和增強功能,以符合PCI 4.0的要求。 如需詳細資訊,請參閱​ Commerce PHP Developer Guide ​中的內容安全性原則

    • Commerce管理員和店面區域的付款頁面的預設CSP設定現在是restrict模式。 對於所有其他頁面,預設設定為report-only模式。 在2.4.7之前的發行版本中,所有頁面的CSP都設定為report-only模式。

    • 新增Nonce提供者,允許在CSP中執行內嵌指令碼。 Nonce提供者可協助為每個請求產生唯一的Nonce字串。 這些字串接著會附加至CSP標頭。

    • 新增選項,可設定自訂URI以報告「管理員」中「建立訂單」頁面的CSP違規以及店面中的「結帳」頁面。 您可以從管理員新增設定,或將URI新增至config.xml檔案。

      note note
      NOTE
      將CSP設定更新為restrict模式可能會封鎖管理員和店面中付款頁面上的現有內嵌指令碼,這會在頁面載入時導致下列瀏覽器錯誤: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 更新白名單設定以允許必要的指令碼來修正這些錯誤。 請參閱​_Commerce PHP開發人員指南_​中的疑難排解

2.4.4 - p8

Adobe Commerce 2.4.4-p8安全性版本為Adobe Commerce 2.4.4部署提供安全性錯誤修正。 這些更新會修正先前版本中發現的漏洞。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-18

2.4.4 - p7

Adobe Commerce 2.4.4-p7安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-03

反白顯示

此版本引進了兩項重要的安全性增強功能:

  • 未產生快取金鑰的行為變更

    • 區塊的非產生快取金鑰現在包含與自動產生之金鑰的前置詞不同的前置詞。 (未產生的快取金鑰是透過範本指示詞語法或setCacheKeysetData方法設定的金鑰。)
    • 區塊未產生的快取金鑰現在只能包含字母、數字、連字型大小(-)和底線字元(_)。

  • 自動產生優惠券代碼數目的限制。 Commerce現在會限制自動產生的抵用券代碼數量。 預設最大值為250,000。 商戶可以使用新的​ Code Quantity Limit ​組態選項(Stores > Settings:Configuration > Customers > Promotions)來控制這個新限制。

2.4.4 - p6

Adobe Commerce 2.4.4-p6安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-50

此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。

反白顯示

此發行版本引入新的全頁快取組態設定,有助於減輕與{BASE-URL}/page_cache/block/esi HTTP端點相關的風險。 此端點支援來自Commerce配置控點和區塊結構的不受限制、動態載入的內容片段。 新的​ Handles Param ​組態設定會設定此端點的handles引數值,此引數會決定每個API允許的控點數目上限。 此屬性的預設值為100。 商戶可從管理員(Stores > Settings: Configuration > System > Full Page Cache > Handles Param)變更此值。

已知問題

問題: Adobe Commerce在Composer從repo.magento.com下載期間顯示​ 錯誤的總和檢查碼 ​錯誤,且封裝下載已中斷。 此問題可能發生於下載發行前期間提供的發行套件期間,而且是由重新封裝magento/module-page-cache套件所造成。

因應措施:在下載期間看到此錯誤的商家可執行下列步驟:

  1. 刪除專案內的/vendor目錄(如果存在)。
  2. 執行bin/magento composer update magento/module-page-cache命令。 這個命令只會更新page cache封裝。

如果檢查值問題持續發生,請先移除composer.lock檔案,再重新執行bin/magento composer update命令以更新每個封裝。

2.4.4 - p5

Adobe Commerce 2.4.4-p5安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-42

套用CVE-2022-31160的Hotfix

jQuery-UI資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160),會影響多個版本的Adobe Commerce和Magento Open Source。 此程式庫相依於Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。執行受影響部署的商戶應套用jQuery UI安全性弱點CVE-2022-31160針對2.4.4、2.4.5和2.4.6版本知識庫文章所指定的修補程式。

2.4.4 - p4

Adobe Commerce 2.4.4-p4安全性版本針對先前版本中發現的弱點提供安全性錯誤修正。 此版本也包含安全性增強功能和平台升級,以更符合最新的安全性最佳實務。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-35

套用CVE-2022-31160的Hotfix

jQuery-UI資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160),會影響多個版本的Adobe Commerce和Magento Open Source。 此程式庫相依於Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。執行受影響部署的商戶應套用jQuery UI安全性弱點CVE-2022-31160針對2.4.4、2.4.5和2.4.6版本知識庫文章所指定的修補程式。

反白顯示

isEmailAvailable GraphQL查詢和(V1/customers/isEmailAvailable) REST端點的預設行為已變更。 依預設,API現在一律會傳回true。 商家可以啟用原始行為,如果電子郵件不存在於資料庫中,則會傳回true;如果存在,則會傳回false

平台升級

此版本的平台升級可改善對最新安全性最佳實務的合規性。

  • 清漆快取7.3支援。 此版本相容於最新版的Varnish Cache 7.3。6.0.x和7u.2.x版本仍維持相容性,但Adobe建議僅將Adobe Commerce 2.4.4-p4與Varnish Cache 7.3或6.0版LTS搭配使用。

  • RabbitMQ 3.11支援。 此版本與最新版RabbitMQ 3.11相容。RabbitMQ 3.9仍支援相容性至2023年8月,但Adobe建議僅將Adobe Commerce 2.4.4-p4與RabbitMQ 3.11搭配使用。

  • JavaScript資料庫。 過時的JavaScript程式庫已升級至最新的次要或修補程式版本,包括moment.js程式庫(v2.29.4)、jQuery UI程式庫(v1.13.2)和jQuery驗證外掛程式程式庫(v1.19.5)。

2.4.4 - p3

Adobe Commerce 2.4.4-p3安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-17

2.4.4 - p2

Adobe Commerce 2.4.4-p2安全性版本針對先前版本中發現的弱點提供修正。 其中一項修正包括建立新的組態設定。 如果電子郵件已變更,需要電子郵件確認 ​組態設定可讓管理員在管理員使用者變更其電子郵件地址時,需要電子郵件確認。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB22-48

套用AC-3022.patch以繼續提供DHL作為運送業者

DHL已匯入schema 6.2版,並將在不久的未來淘汰schema 6.0版。 支援DHL整合的Adobe Commerce 2.4.4及舊版僅支援6.0版。部署這些版本的商戶應儘早套用AC-3022.patch,以繼續提供DHL作為運送承運商。 請參閱套用修補程式,以繼續提供DHL作為運送業者知識庫文章,以取得有關下載和安裝修補程式的資訊。

2.4.4 - p1

Adobe Commerce 2.4.4-p1安全性版本針對先前版本中發現的弱點提供修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告。t

套用AC-3022.patch以繼續提供DHL作為運送承運商

DHL已匯入schema 6.2版,並將在不久的未來淘汰schema 6.0版。 支援DHL整合的Adobe Commerce 2.4.4及舊版僅支援6.0版。部署這些版本的商戶應儘早套用AC-3022.patch,以繼續提供DHL作為運送承運商。 請參閱套用修補程式,以繼續提供DHL作為運送業者知識庫文章,以取得有關下載和安裝修補程式的資訊。

反白顯示

此版本的安全性改善專案可改善對最新安全性最佳實務的合規性,包括:

  • ACL資源已新增至詳細目錄。
  • 已增強詳細目錄範本安全性。

已知問題

問題:在2.4.4-p1封裝上執行時,Web API和整合測試會顯示此錯誤: [2022-06-14T16:58:23.694Z] PHP Fatal error: Declaration of Magento\TestFramework\ErrorLog\Logger::addRecord(int $level, string $message, array $context = []): bool must be compatible with Monolog\Logger::addRecord(int $level, string $message, array $context = [], ?Monolog\DateTimeImmutable $datetime = null): bool in /var/www/html/dev/tests/integration/framework/Magento/TestFramework/ErrorLog/Logger.php on line 69因應措施:執行require monolog/monolog:2.6.0命令以安裝舊版的Monolog。

問題:商家在從Adobe Commerce 2.4.4升級至Adobe Commerce 2.4.4-p1時,可能會注意到套件版本降級通知。 可以忽略這些訊息。 套件版本中的差異是因為產生套件期間發生異常所導致。 沒有任何產品功能受到影響。 請參閱從2.4.4升級為2.4.4-p1🔗知識庫文章後降級的套件,瞭解受影響的案例和因應措施。

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f