Adobe Commerce 2.4.5安全性修補程式的發行說明

Last update: Wed Jun 12 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

主題：

建立對象：

undefined
undefined
undefined

這些安全性修補程式發行說明會擷取更新，以增強Adobe Commerce部署的安全性。資訊包括但不限於：

安全性錯誤修正
安全性重點專案，提供安全性修補程式中所包含增強功能和更新的詳細資訊
已知問題
視需要套用其他修補程式的指示
此發行版本包含的任何修補程式的相關資訊

深入瞭解安全性修補程式發行版本：

Adobe Commerce 2.4.5-p8

Adobe Commerce 2.4.5-p7安全性版本針對先前版本2.4.5中發現的弱點提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB24-40.

平台升級

MariaDB 10.5支援. 此修補程式發行版本引入與MariaDB 10.5版的相容性。Adobe Commerce仍與MariaDB 10.4版相容，但Adobe建議使用Adobe Commerce 2.4.5-p8以及所有即將發行的2.4.5僅限安全性修補程式版本，僅與MariaDB 10.5版相容，因為MariaDB 10.4的維護作業將於2024年6月18日結束。

其他安全性增強功能

目前尚未發生與這些問題相關的已確認攻擊。但是，某些漏洞可能會被用來存取客戶資訊或接管管理員工作階段。這些問題大多需要攻擊者先取得Admin的存取權。因此，我們提醒您採取一切必要步驟來保護您的管理員，包括但不限於這些工作：

IP允許清單
雙因素驗證
使用VPN
使用唯一位置，而非 /admin
良好的密碼衛生

此版本的安全性改善專案可改善對最新安全性最佳實務的合規性。

非產生之快取金鑰的行為變更：
- 區塊的非產生快取金鑰現在包含與自動產生之金鑰的前置詞不同的前置詞。 (未產生的快取索引鍵是透過範本指令語法或 setCacheKey 或 setData 方法。)
- 區塊未產生的快取金鑰現在只能包含字母、數字、連字型大小(-)和底線字元(_)。
自動產生優惠券代碼數目的限制. Commerce現在會限制自動產生的抵用券代碼數量。預設最大值為250,000。商家可以使用新的 Code Quantity Limit 組態選項(Stores > Settings:Configuration > Customers > Promotions)，以防止許多優惠券讓系統不堪重負。
最佳化預設管理員URL產生程式. 預設管理員URL的產生已針對增加的隨機性而最佳化，使產生的URL較難預測。
新增子資源完整性(SRI)支援 以符合PCI 4.0的要求，驗證付款頁面上的指令碼完整性。子資源完整性(SRI)支援為駐留在本機檔案系統中的所有JavaScript資產提供完整性雜湊。預設SRI功能僅在管理員和店面區域的付款頁面上實作。不過，商家可以將預設設定延伸至其他頁面。另請參閱子資源完整性在 Commerce PHP開發人員指南.

內容安全性原則(CSP)的變更—Adobe Commerce內容安全性原則(CSP)的設定更新和增強功能，以符合PCI 4.0需求。如需詳細資訊，請參閱內容安全性原則在 Commerce PHP開發人員指南.

Commerce管理員和店面區域的付款頁面的預設CSP設定現在為 restrict 模式。對於所有其他頁面，預設設定為 report-only 模式。在2.4.7之前的版本中，CSP是設定在 report-only 模式。
新增Nonce提供者，允許在CSP中執行內嵌指令碼。 Nonce提供者可協助為每個請求產生唯一的Nonce字串。這些字串接著會附加至CSP標頭。

新增選項，可設定自訂URI以報告「管理員」中「建立訂單」頁面的CSP違規以及店面中的「結帳」頁面。您可以從管理員新增設定，或將URI新增至 config.xml 檔案。

note note

note note
NOTE
將CSP設定更新至 `restrict` 模式可能會在「管理員」和「店面」的付款頁面上封鎖現有的內嵌指令碼，這會在頁面載入時導致下列瀏覽器錯誤： `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src`. 更新白名單設定以允許必要的指令碼來修正這些錯誤。另請參閱疑難排除在 Commerce PHP開發人員指南.

NOTE

將CSP設定更新至 restrict 模式可能會在「管理員」和「店面」的付款頁面上封鎖現有的內嵌指令碼，這會在頁面載入時導致下列瀏覽器錯誤： Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. 更新白名單設定以允許必要的指令碼來修正這些錯誤。另請參閱疑難排除在 Commerce PHP開發人員指南.

新的全頁快取設定有助於降低與HTTP相關的風險 {BASE-URL}/page_cache/block/esi 端點。此端點支援來自Commerce配置控點和區塊結構的不受限制、動態載入的內容片段。新的 Handles params size 組態設定會設定此端點的值 handles 引數，決定每個API允許的最大控制代碼數量。此屬性的預設值為100。商家可以從管理員(Stores > Settings:Configuration > System > Full Page Cache > Handles params size)。另請參閱設定Commerce應用程式以使用Varnish.
透過REST和GraphQL API傳輸的付款資訊的原生費率限制. 商戶現在可以設定速率限制以取得使用REST和GraphQL傳輸的付款資訊。此新增的保護層可支援防止梳理攻擊，並可能會減少同時測試許多信用卡號碼的梳理攻擊的數量。這是現有REST端點預設行為的變更。另請參閱速率限制.
的預設行為 isEmailAvailable GraphQL查詢和(V1/customers/isEmailAvailable) REST端點已變更。依預設，API現在一律會傳回 true. 商家可以透過設定 啟用來賓簽出登入 管理員中的選項，用於 yes，但這麼做可能會將客戶資訊公開給未經驗證的使用者。

Adobe Commerce 2.4.5-p7

Adobe Commerce 2.4.5-p7安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB24-18.

Adobe Commerce 2.4.5-p6

Adobe Commerce 2.4.5-p6安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。此版本也包含安全性增強功能，可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB24-03.

安全性重點專案

此版本引進了兩項重要的安全性增強功能：

非產生之快取金鑰的行為變更：
- 區塊的非產生快取金鑰現在包含與自動產生之金鑰的前置詞不同的前置詞。 (未產生的快取索引鍵是透過範本指令語法或 setCacheKey 或 setData 方法。)
- 區塊未產生的快取金鑰現在只能包含字母、數字、連字型大小(-)和底線字元(_)。
自動產生優惠券代碼數目的限制. Commerce現在會限制自動產生的抵用券代碼數量。預設最大值為250,000。商家可以使用新的 Code Quantity Limit 組態選項(Stores > Settings:Configuration > Customers > Promotions)，以控制此新限制。

Adobe Commerce 2.4.5-p5

Adobe Commerce 2.4.5-p5安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。此版本也包含安全性增強功能，可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB23-50.

安全性反白顯示

此發行版本引進新的全頁快取設定值，有助於降低與相關的風險。 {BASE-URL}/page_cache/block/esi HTTP 端點。此端點支援來自Commerce配置控點和區塊結構的不受限制、動態載入的內容片段。新的 Handles Param 組態設定會設定此端點的值 handles 引數，決定每個API允許的最大控制代碼數量。此屬性的預設值為100。商家可以從管理員(Stores > Settings:Configuration > System > Full Page Cache > Handles Param)。

已知問題

問題：Adobe Commerce顯示 錯誤的總和檢查碼 Composer從下載時發生錯誤 repo.magento.com，且封裝下載作業中斷。在下載發行前版本中提供的發行套件期間可能會發生此問題，此問題的原因是對套件重新封裝 magento/module-page-cache 封裝。

因應措施：在下載期間看到此錯誤的商家可執行這些步驟：

刪除 /vendor 專案內的目錄（如果有的話）。
執行 bin/magento composer update magento/module-page-cache 命令。這個命令只會更新 page cache 封裝。

如果檢查值問題持續發生，請移除 composer.lock 重新執行之前的檔案 bin/magento composer update 更新每個套件的命令。

Adobe Commerce 2.4.5-p4

Adobe Commerce 2.4.5-p4安全性版本針對先前版本中發現的弱點提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB23-42.

套用修補程式以解決安全性弱點jQuery-UI程式庫中的CVE-2022-31160

jQuery-UI 資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160)，會影響多個版本的Adobe Commerce和Magento Open Source。此程式庫相依於Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。執行受影響部署的商戶應套用 jQuery UI安全漏洞2.4.4、2.4.5和2.4.6版的CVE-2022-31160修正知識庫文章。

Adobe Commerce 2.4.5-p3

Adobe Commerce 2.4.5-p3安全性版本針對先前版本中發現的弱點提供安全性修正。此版本也包含安全性增強功能，可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告.

套用修補程式以解決安全性弱點jQuery-UI程式庫中的CVE-2022-31160

jQuery-UI 資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160)，會影響多個版本的Adobe Commerce和Magento Open Source。此程式庫相依於Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。執行受影響部署的商戶應套用 2.4.4、2.4.5和2.4.6版的查詢UI安全漏洞CVE-2022-31160修正知識庫文章。

安全性反白顯示

的預設行為 isEmailAvailable GraphQL查詢和(V1/customers/isEmailAvailable) REST端點已變更。依預設，API現在一律會傳回 true. 商家可以啟用原始行為，即 true 如果電子郵件不存在於資料庫中，並且 false 如果它存在。

平台升級

此版本的平台升級可改善對最新安全性最佳實務的合規性。

支援清漆快取7.3. 此版本相容於最新版的Varnish Cache 7.3。6.0.x和7.2.x版本仍維持相容性，但我們建議僅將Adobe Commerce 2.4.5-p3與Varnish Cache 7.3或6.0版LTS搭配使用。
RabbitMQ 3.11支援. 此版本與最新版RabbitMQ 3.11相容。RabbitMQ 3.9仍支援相容性至2023年8月，但我們建議僅將Adobe Commerce 2.4.5-p3與RabbitMQ 3.11搭配使用。
JavaScript資料庫. 過時的JavaScript程式庫已升級至最新的次要或修補程式版本，包括 moment.js 資料庫(v2.29.4)， jQuery UI 資料庫(v1.13.2)和 jQuery 驗證外掛程式庫(v1.19.5)。

Adobe Commerce 2.4.5-p2發行說明

Adobe Commerce 2.4.5-p2安全性版本針對先前版本中發現的弱點提供三項安全性修正。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB23-17.

Adobe Commerce 2.4.5-p1

Adobe Commerce 2.4.5-p1安全性版本針對先前版本(Adobe Commerce 2.4.5和Magento Open Source2.4.5)中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊，請參閱 Adobe安全性公告APSB22-48.

其中一項安全性錯誤修正包括建立新的組態設定。此 如果電子郵件已變更，則要求電子郵件確認 組態設定可讓管理員在管理員使用者變更電子郵件地址時，要求電子郵件確認。

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f