文件Commerce發行資訊

Adobe Commerce 2.4.6安全性修補程式的發行說明

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:

建立對象:

  • 經驗豐富
  • 管理員
  • 開發人員

這些安全性修補程式發行說明會擷取更新,以增強Adobe Commerce部署的安全性。 資訊包括但不限於:

  • 安全性錯誤修正
  • 安全性重點專案,提供安全性修補程式中所包含增強功能和更新的詳細資訊
  • 已知問題
  • 視需要套用其他修補程式的指示
  • 此發行版本包含的任何修補程式的相關資訊

深入瞭解安全性修補程式發行版本:

2.4.6 - p8

Adobe Commerce 2.4.6-p8安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-73

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

  • TinyMCE升級 — 管理員中的WYSIWYG編輯器現在使用最新版本的TinyMCE相依性(7.3​)。

    • TinyMCE 7.3提供更優異的使用者體驗、更出色的協同合作,以及更高的效率。 TinyMCE 5已在2.4.8版本行中移除​。

    • 由於TinyMCE 5.10中報告安全性弱點(CVE-2024-38357),因此目前支援的所有發行版本系列也升級了相依性,並包含在所有的2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js升級—Adobe Commerce現在使用最新版Require.js (2.3.7)。

    • 由於Require.js 2.3.6中報告有安全性弱點(CVE-2024-38999),因此目前支援的所有發行版本行也升級了相依性,並包含在所有2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
這些更新可回溯相容,且不會影響自訂專案和擴充功能​。

此版本中包含的Hotfix

此版本包含解決Braintree付款閘道問題的Hotfix。

當使用Braintree作為付款閘道時,系統現在包含必要的欄位,以滿足3DS VISA授權需求。 這可確保所有交易都符合VISA所設定的最新安全性標準。 先前,這些額外欄位未包含在傳送的付款資訊中,這可能會導致不遵守新的VISA要求。

2.4.6 - p7

Adobe Commerce 2.4.6-p7安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-61

反白顯示

此版本包含下列重點專案:

  • one-time passwords ​的速率限制 — 下列新的系統組態選項現在可用於在two-factor authentication (2FA) one-time password (OTP)驗證上啟用速率限制:

    • 雙因素驗證的重試限制
    • 雙因素驗證鎖定時間(秒)

    Adobe建議設定2FA OTP驗證的臨界值,以限制重試嘗試的次數,減少暴力攻擊。 如需詳細資訊,請參閱​ 組態參考指南 ​中的安全性> 2FA

  • 加密金鑰輪換 — 現在有新的CLI命令可用來變更您的加密金鑰。 如需詳細資訊,請參閱疑難排解加密金鑰輪換: CVE-2024-34102知識庫文章。

  • 修正CVE-2020-27511 — 解決Prototype.js安全性弱點。

  • 修正CVE-2024-39397 — 解決遠端程式碼執行安全性弱點。 此弱點會影響使用Apache Web Server進行內部部署或自行託管部署的商家。 此修正也可作為獨立修補程式使用。 檢視可用於Adobe Commerce的安全性更新 — APSB24-61知識庫文章以取得詳細資料。

此版本中包含的Hotfix

此版本包含下列Hotfix:

  • 解決JavaScript錯誤(導致Google Map無法在​ PageBuilder ​編輯器中正確呈現)的Hotfix。 如需詳細資訊,請參閱所有Adobe Commerce版本知識庫文章中Google地圖存取遺失的修訂修補程式。

  • 解決與CVE-2024-34102相關的JSON Web權杖(JWT)驗證問題的Hotfix。 如需詳細資訊,請參閱Adobe Commerce-APSB24-40🔗知識庫文章中可用的安全性更新。

2.4.6 - p6

Adobe Commerce 2.4.6-p6安全性版本針對2.4.6舊版中已發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-40

為了與Commerce 2.4.6-p6版相容,擁有Adobe Commerce B2B擴充功能的商家必須升級至B2B 1.4.2-p1版。

套用CVE-2024-34102的Hotfix

IMPORTANT
這是我們上次關於CVE-2024-34102通訊的緊急更新。 Adobe得知,CVE-2024-34102在針對Adobe Commerce商家的非常有限的攻擊中被瘋狂利用。 如果您尚未解決此問題,請立即採取行動。

對於尚未套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

選項1:

  1. 套用2024年6月11日發行的其中一個安全性修補程式:

  2. 套用2024年7月17日發行的Hotfix

  3. 旋轉加密金鑰。

選項2:

  1. 套用隔離的修補程式

  2. 旋轉加密金鑰。

對於已套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

  1. 套用2024年7月17日發行的Hotfix

  2. 旋轉加密金鑰。

針對已套用1)於2024年6月11日發行的安全性修補程式的客戶,或2)於2024年6月28日發行的隔離修補程式,以及3)輪換其加密金鑰的客戶:

  1. 套用2024年7月17日發行的Hotfix

為了與Commerce 2.4.6-p6版相容,擁有Adobe Commerce B2B擴充功能的商家必須升級至B2B 1.4.2-p1版。

反白顯示

  • 已新增子資源完整性(SRI)支援,以符合PCI 4.0對驗證付款頁面上指令碼完整性的要求。 子資源完整性(SRI)支援為駐留在本機檔案系統中的所有JavaScript資產提供完整性雜湊。 預設SRI功能僅在管理員和店面區域的付款頁面上實作。 不過,商家可以將預設設定延伸至其他頁面。 請參閱​ Commerce PHP開發人員指南.中的子資源完整性

  • 內容安全性原則(CSP)的變更—Adobe Commerce內容安全性原則(CSP)的組態更新和增強功能,以符合PCI 4.0的要求。 如需詳細資訊,請參閱​ Commerce PHP Developer Guide ​中的內容安全性原則

    • Commerce管理員和店面區域的付款頁面的預設CSP設定現在是restrict模式。 對於所有其他頁面,預設設定為report-only模式。 在2.4.7之前的發行版本中,所有頁面的CSP都設定為report-only模式。

    • 新增Nonce提供者,允許在CSP中執行內嵌指令碼。 Nonce提供者可協助為每個請求產生唯一的Nonce字串。 這些字串接著會附加至CSP標頭。

    • 新增選項,可設定自訂URI以報告「管理員」中「建立訂單」頁面的CSP違規以及店面中的「結帳」頁面。 您可以從管理員新增設定,或將URI新增至config.xml檔案。

      note note
      NOTE
      將CSP設定更新為restrict模式可能會封鎖管理員和店面中付款頁面上的現有內嵌指令碼,這會在頁面載入時導致下列瀏覽器錯誤: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 更新白名單設定以允許必要的指令碼來修正這些錯誤。 請參閱​_Commerce PHP開發人員指南_​中的疑難排解

2.4.6 - p5

Adobe Commerce 2.4.6-p5安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。

如需這些修正的最新資訊,請參閱Adobe安全性公告APSB24-18

2.4.6 - p4

Adobe Commerce 2.4.6-p4安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-03

反白顯示

此版本引進了兩項重要的安全性增強功能:

  • 未產生快取金鑰的行為變更

    • 區塊的非產生快取金鑰現在包含與自動產生之金鑰的前置詞不同的前置詞。 (未產生的快取金鑰是透過範本指示詞語法或setCacheKeysetData方法設定的金鑰。)
    • 區塊未產生的快取金鑰現在只能包含字母、數字、連字型大小(-)和底線字元(_)。

  • 自動產生優惠券代碼數目的限制。 Commerce現在會限制自動產生的抵用券代碼數量。 預設最大值為250,000。 商戶可以使用新的​ Code Quantity Limit ​組態選項(Stores > Settings:Configuration > Customers > Promotions)來控制這個新限制。

2.4.6 - p3

Adobe Commerce 2.4.6-p3安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。

如需安全性修正的最新資訊,請參閱Adobe安全性公告APSB23-50

反白顯示

此發行版本引入新的全頁快取組態設定,有助於減輕與{BASE-URL}/page_cache/block/esi HTTP端點相關的風險。 此端點支援來自Commerce配置控點和區塊結構的不受限制、動態載入的內容片段。 新的​ Handles Param ​組態設定會設定此端點的handles引數值,此引數會決定每個API允許的控點數目上限。 此屬性的預設值為100。 商戶可從管理員(Stores > Settings:Configuration > System > Full Page Cache > Handles Param ​變更此值。

此版本中包含的Hotfix

Adobe Commerce 2.4.6-p3包含修補程式ACSD-51892所修正的效能降低解析度。 此修補程式解決的問題不會影響商家,相關說明請參閱ACSD-51892:設定檔載入多次的效能問題知識庫文章。

已知問題

問題: Adobe Commerce在Composer從repo.magento.com下載期間顯示wrong checksum錯誤,且封裝下載已中斷。 此問題可能發生於下載發行前期間可用的發行套件期間,而且是由重新封裝magento/module-page-cache套件所造成。

因應措施:在下載期間看到此錯誤的商家可執行下列步驟:

  1. 刪除專案內的/vendor目錄(如果存在)。
  2. 執行bin/magento composer update magento/module-page-cache命令。 這個命令只會更新page cache封裝。

如果檢查值問題持續發生,請先移除composer.lock檔案,再重新執行bin/magento composer update命令以更新每個封裝。

2.4.6 - p2

Adobe Commerce 2.4.6-p2安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也提供安全性增強功能,以更符合最新的安全性最佳實務。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-42

套用CVE-2022-31160的Hotfix

jQuery-UI資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160),會影響多個版本的Adobe Commerce和Magento Open Source。 此程式庫相依於Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。執行受影響部署的商戶應套用jQuery UI安全性弱點CVE-2022-31160針對2.4.4、2.4.5和2.4.6版本知識庫文章所指定的修補程式。

反白顯示

nginx.sample檔案中fastcgi_pass的值已傳回至它之前(2.4.6-p1之前)的fastcgi_backend值。 在Adobe Commerce 2.4.6-p1中,此值無意間變更為php-fpm:9000

此版本中包含的Hotfix

Adobe Commerce 2.4.6-p2包含修補程式ACSD-51892所解決之效能降低的解析度。 此修補程式解決的問題不會影響商家,相關說明請參閱ACSD-51892:設定檔載入多次的效能問題知識庫文章。

2.4.6 - p1

Adobe Commerce 2.4.6-p1安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能和平台升級,以更符合最新的安全性最佳實務。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-35

套用CVE-2022-31160的Hotfix

jQuery-UI資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160),會影響多個版本的Adobe Commerce和Magento Open Source。 此程式庫相依於Adobe Commerce和Magento Open Source2.4.4、2.4.5和2.4.6。執行受影響部署的商戶應套用查詢UI安全性弱點CVE-2022-31160針對2.4.4、2.4.5和2.4.6版本知識庫文章所指定的修補程式。

反白顯示

isEmailAvailable GraphQL查詢和(V1/customers/isEmailAvailable) REST端點的預設行為已變更。 依預設,API現在一律會傳回true。 商家可以啟用原始行為,如果電子郵件不存在於資料庫中,則會傳回true;如果存在,則會傳回false

平台升級

此版本的平台升級可改善對最新安全性最佳實務的合規性。

  • 清漆快取7.3支援。 此版本相容於最新版的Varnish Cache 7.3。6.0.x和7.2.x版本仍維持相容性,但Adobe建議使用Adobe Commerce 2.4.6-p1,僅搭配Varnish Cache 7.3或6.0版LTS。

  • RabbitMQ 3.11支援。 此版本與最新版RabbitMQ 3.11相容。RabbitMQ 3.9仍支援相容性至2023年8月,但Adobe建議僅將Adobe Commerce 2.4.6-p1與RabbitMQ 3.11搭配使用。

  • JavaScript資料庫。 過時的JavaScript程式庫已升級至最新的次要或修補程式版本,包括moment.js程式庫(v2.29.4)、jQuery UI程式庫(v1.13.2)和jQuery驗證外掛程式程式庫(v1.19.5)。

已知問題

  • nginx.sample檔案不慎更新為變更,將fastcgi_pass的值從fastcgi_backend修改為php-fpm:9000。 此變更可以安全地還原或忽略。

  • 遺失B2B安全性套件的相依性會在安裝或升級B2B擴充功能至1.4.0時造成下列安裝錯誤。

    code language-none 
    Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

    此問題可透過為具有穩定性標籤的B2B安全性套件新增手動相依性來解決。 如需詳細資訊,請參閱B2B發行說明

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f