文件

Adobe Commerce有可用的安全性更新 — APSB24-40

Last update: Tue Jul 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

附註 **此為與CVE-2024-34102相關的緊急更新。 Adobe得知,CVE-2024-34102在針對Adobe Commerce商家的非常有限的攻擊中被瘋狂利用。

除了2024年6月11日的安全性更新版本和/或2024年6月28日發行的獨立修補程式之外,我們在2024年7月17日發行了Hotfix。

請檢查所有生產和非生產環境,以協助確保您的商店在所有執行個體上皆已完整修正。 請立即採取行動解決漏洞。

注意:僅適用於Cloud Mercurs上的Adobe Commerce:

  1. 請確定您使用最新版的ECE工具。 如果您尚未升級,請升級(或跳至專案2)。 若要檢查您現有的版本,請執行此命令: composer show magento/ece-tools
  2. 如果您已在最新版的ECE工具上,請檢查op-exclude.txt檔案是否存在。 若要這麼做,請執行此命令: ls op-exclude.txt。 如果此檔案不存在,請將https://github.com/magento/magento-cloud/blob/master/op-exclude.txt新增至您的存放庫,然後確認變更並重新部署。
  3. 您不必升級ECE工具,也可以在存放庫中新增/修改https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ,然後提交變更並重新部署。

選項1 — 適用於自2024年6月11日起未套用安全性更新的商家,也適用於2024年6月28日發行的獨立修補程式

  1. 套用2024年7月17日發行的Hotfix。
  2. 套用安全性修補程式。
  3. 啟用維護模式。
  4. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  5. 輪換您的加密金鑰
  6. 排清快取。
  7. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  8. 停用維護模式。

  1. 套用隔離的修補程式。 注意 此版本的隔離修補程式包含2024年7月17日的Hotfix。
  2. 啟用維護模式。
  3. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 輪換您的加密金鑰
  5. 排清快取。
  6. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  7. 停用維護模式。

選項2 — 適用於自2024年6月11日起已套用安全性更新和/或2024年6月28日發行的獨立修補程式的商家

  1. 套用2024年7月17日發行的Hotfix。
  2. 啟用維護模式。
  3. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  4. 輪換您的加密金鑰
  5. 排清快取。
  6. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  7. 停用維護模式。

選項3 — 適用於已(1)從2024年6月11日起套用安全性更新,及/或(2)於2024年6月28日發行隔離修補程式,及(3)輪換加密金鑰的商家

  • 套用2024年7月17日發行的Hotfix

注意:若要確保您在升級後仍然安全,您也必須旋轉您的加密金鑰:

  1. 啟用維護模式。
  2. 停用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:disable)。
  3. 旋轉您的加密金鑰。
  4. 啟用cron執行(雲端命令上的Commerce: vendor/bin/ece-tools cron:enable)。
  5. 停用維護模式。

在本文章中,您將瞭解如何針對目前和舊版Adobe Commerce和Magento Open Source實施此問題的獨立修補程式。

注意 此版本的隔離修補程式包含2024年7月17日的Hotfix。

說明 description

受影響的產品和版本

雲端上的Adobe Commerce、內部部署的Adobe Commerce和Magento Open Source:

  • 2.4.7-p1和更舊版本
  • 2.4.6-p6和較舊版本
  • 2.4.5-p8和更舊版本
  • 2.4.4-p9及舊版

解決方法 resolution

適用於Adobe Commerce on Cloud、Adobe Commerce內部部署軟體和Magento Open Source的解決方案

為協助解決受影響產品和版本的弱點,您必須套用VULN-27015修補程式(視您的版本而定)並旋轉加密金鑰。

Hotfix詳細資料

隔離的修正程式詳細資訊

注意 此版本的隔離修補程式包含2024年7月17日的Hotfix。

根據您的Adobe Commerce/Magento Open Source版本,使用以下附加修補程式:

若為2.4.7版:

若為版本2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5:

若為版本2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7:

若為版本2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8:

如何套用隔離的修補程式和Hotfix

解壓縮檔案,並在我們的支援知識庫中參閱如何套用Adobe提供的撰寫器修補程式,以取得指示。

僅適用於Adobe Commerce on Cloud商家 — 如何判斷已套用隔離的修補程式

考慮到無法輕鬆檢查問題是否已修補,您可能想要檢查VULN-27015隔離修補程式是否已成功套用。

您可以依照下列步驟,以檔案VULN-27015-2.4.7_COMPOSER.patch為例,來執行此動作:

  1. 安裝品質修補工具

  2. 執行命令: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. 您應該會看到類似以下內容的輸出,其中VULN-27015會傳回   已套用 ​狀態:

    table 0-row-6 1-row-6
    ID 標題 類別 來源 狀態 詳細資料
    不適用 …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch 其他 本機 已套用 修補程式型別:自訂

套用修補程式後輪換/變更加密金鑰

如需在套用修補程式後如何輪換/變更加密金鑰的指引 ,請參閱 在Commerce Admin Systems Guide檔案中的系統管理系統指南:加密金鑰

有關保護存放區和旋轉加密金鑰的其他指導

如需有關CVE-2024-34102保護存放區和旋轉加密金鑰的其他指南,請參閱保護存放區和旋轉加密金鑰的指南:CVE-2024-34102,也請參閱Adobe Commerce知識庫。

安全性更新

Adobe Commerce可用的安全性更新:

相關閱讀

在Adobe Commerce安裝指南中啟用或停用維護模式

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f