文件Commerce發行資訊

Adobe Commerce 2.4.7安全性修補程式的發行說明

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:

建立對象:

  • 經驗豐富
  • 管理員
  • 開發人員

這些安全性修補程式發行說明會擷取更新,以增強Adobe Commerce部署的安全性。 資訊包括但不限於:

  • 安全性錯誤修正
  • 安全性重點專案,提供安全性修補程式中所包含增強功能和更新的詳細資訊
  • 已知問題
  • 視需要套用其他修補程式的指示
  • 此發行版本包含的任何修補程式的相關資訊

深入瞭解安全性修補程式發行版本:

2.4.7 - p3

Adobe Commerce 2.4.7-p3安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-73

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

  • TinyMCE升級 — 管理員中的WYSIWYG編輯器現在使用最新版本的TinyMCE相依性(7.3​)。

    • TinyMCE 7.3提供更優異的使用者體驗、更出色的協同合作,以及更高的效率。 TinyMCE 5已在2.4.8版本行中移除​。

    • 由於TinyMCE 5.10中報告安全性弱點(CVE-2024-38357),因此目前支援的所有發行版本系列也升級了相依性,並包含在所有的2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js升級—Adobe Commerce現在使用最新版Require.js (2.3.7)。

    • 由於Require.js 2.3.6中報告有安全性弱點(CVE-2024-38999),因此目前支援的所有發行版本行也升級了相依性,並包含在所有2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
這些更新可回溯相容,且不會影響自訂專案和擴充功能​。

此版本中包含的Hotfix

此版本包含解決Braintree付款閘道問題的Hotfix。

當使用Braintree作為付款閘道時,系統現在包含必要的欄位,以滿足3DS VISA授權需求。 這可確保所有交易都符合VISA所設定的最新安全性標準。 先前,這些額外欄位未包含在傳送的付款資訊中,這可能會導致不遵守新的VISA要求。

2.4.7 - p2

Adobe Commerce 2.4.7-p2安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-61

反白顯示

此版本包含下列重點專案:

  • one-time passwords ​的速率限制 — 下列新的系統組態選項現在可用於在two-factor authentication (2FA) one-time password (OTP)驗證上啟用速率限制:

    • 雙因素驗證的重試限制
    • 雙因素驗證鎖定時間(秒)

    Adobe建議設定2FA OTP驗證的臨界值,以限制重試嘗試的次數,減少暴力攻擊。 如需詳細資訊,請參閱​ 組態參考指南 ​中的安全性> 2FA

  • 加密金鑰輪換 — 現在有新的CLI命令可用來變更您的加密金鑰。 如需詳細資訊,請參閱疑難排解加密金鑰輪換: CVE-2024-34102知識庫文章。

  • 修正CVE-2020-27511 — 解決Prototype.js安全性弱點。

  • 修正CVE-2024-39397 — 解決遠端程式碼執行安全性弱點。 此弱點會影響使用Apache Web Server進行內部部署或自行託管部署的商家。 此修正也可作為獨立修補程式使用。 檢視可用於Adobe Commerce的安全性更新 — APSB24-61知識庫文章以取得詳細資料。

此版本中包含的Hotfix

此版本包含下列Hotfix:

  • 解決JavaScript錯誤(導致Google Map無法在​ PageBuilder ​編輯器中正確呈現)的Hotfix。 如需詳細資訊,請參閱所有Adobe Commerce版本知識庫文章中Google地圖存取遺失的修訂修補程式。

  • 解決與CVE-2024-34102相關的JSON Web權杖(JWT)驗證問題的Hotfix。 如需詳細資訊,請參閱Adobe Commerce-APSB24-40🔗知識庫文章中可用的安全性更新。

2.4.7 - p1

Adobe Commerce 2.4.7-p1安全性版本針對2.4.7舊版中發現的弱點提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-40

套用CVE-2024-34102的Hotfix

IMPORTANT
這是我們上次關於CVE-2024-34102通訊的緊急更新。 Adobe得知,CVE-2024-34102在針對Adobe Commerce商家的非常有限的攻擊中被瘋狂利用。 如果您尚未解決此問題,請立即採取行動。

對於尚未套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

選項1:

  1. 套用2024年6月11日發行的其中一個安全性修補程式:

  2. 套用2024年7月17日發行的Hotfix

  3. 旋轉加密金鑰。

選項2:

  1. 套用隔離的修補程式

  2. 旋轉加密金鑰。

對於已套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

  1. 套用2024年7月17日發行的Hotfix

  2. 旋轉加密金鑰。

針對已套用1)於2024年6月11日發行的安全性修補程式的客戶,或2)於2024年6月28日發行的隔離修補程式,以及3)輪換其加密金鑰的客戶:

  1. 套用2024年7月17日發行的Hotfix

反白顯示

此版本包含下列重點專案:

  • 更新Google Authenticator的一次性密碼(OTP)設定 — 需要此更新來解決2.4.7中回溯不相容變更所導致的錯誤。OTP Window ​欄位的描述現在提供設定的正確說明,預設值已從1變更為29

  • B2B版本相容性 — 為了與Commerce 2.4.7-p1版相容,擁有Adobe Commerce B2B擴充功能的商家必須升級至B2B 1.4.2-p1版。

此版本中包含的Hotfix

Adobe Commerce 2.4.7-p1解決了UPS整合從SOAP移轉至REST API的範圍中發生的問題。 此問題會影響出貨到美國境外的客戶,使他們無法使用公制系統/SI測量方式(千克與公分)來建立搭配UPS的出貨。 請參閱UPS送貨方法整合從SOAP移轉至RESTful API知識庫文章以取得詳細資料。

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f