Adobe Commerce 2.3.7-p1 release-opmerkingen
Adobe Commerce 2.3.7-p1 is een beveiligingsrelease die beveiligingsoplossingen biedt die uw Adobe Commerce 2.3.7- of Magento Open Source 2.3.7-implementatie verbeteren. Het biedt oplossingen voor kwetsbaarheden die zijn geïdentificeerd in de vorige patch-release, Adobe Commerce 2.3.7 en Magento Open Source 2.3.7.
PHP 7.3 stopte met ondersteuning in december 2021 en Adobe Commerce 2.3.x stopt met ondersteuning in april 2022. We raden u ten zeerste aan uw upgrade nu naar Adobe Commerce 2.4.x of Magento Open Source 2.4.x en PHP 7.4.x te plannen om PCI-compliance te behouden.
Pas MC-43048__set_rate_limits__2.3.7-p1.patch toe om het probleem met API-snelheidsbeperking aan te pakken
Deze hotfix biedt een oplossing voor het probleem waarbij web-API’s geen aanvragen kunnen verwerken die meer dan 20 items in een array bevatten. Dit probleem is van invloed op implementaties met Magento Open Source 2.4.3, Adobe Commerce 2.4.3 of Adobe Commerce 2.3.7-p1. Aan deze releases is een ingebouwde snelheidsbeperking toegevoegd om denial-of-service (DoS)-aanvallen te voorkomen, en het standaardmaximum is ingesteld op 20. Deze patch zet de standaardlimiet terug naar een hogere waarde. Als u vermoedt dat uw winkel te maken heeft met een DoS-aanval, raadt Adobe aan de standaardinvoerlimieten te verlagen naar een lagere waarde om het aantal bronnen dat kan worden aangevraagd te beperken. Zie de Web API die verzoeken met meer dan 20 items niet kan verwerken in het array Knowledge Base-artikel.
Pas AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch toe om de fatale PHP-fout bij de upgrade aan te pakken
De volgende fatale fout kan optreden tijdens de upgrade naar Adobe Commerce 2.3.7-p1:
1
PHP Fatal error: Uncaught Error: Call to undefined function MagentoFrameworkFilesystemDirectorystr_contains() in [...]/magento/vendor/magento/framework/Filesystem/Directory/DenyListPathValidator.php:74
Deze fout is het gevolg van het gebruik van de str_contains
functie, wat een PHP 8.x-functie is. Adobe Commerce 2.3.7-p1 ondersteunt PHP 8.x niet. Deze hotfix vervangt deze functie door een ondersteunde PHP 7.x-functie. Zie het Adobe Commerce upgrade 2.4.3, 2.3.7-p1 PHP Fatal error Hotfix Knowledge Base-artikel.
Wat staat er in deze uitgave?
Deze beveiligingspatch bevat zeventien beveiligingsoplossingen en één beveiligingsverbetering. Vijftien van deze fixes zijn gebackporteerd vanuit Magento 2.4.3, en twee fixes zijn specifiek voor de 2.3.x-productlijn. Zie Adobe-beveiligingsbulletin.
Snelheidsbeperking is nu ingebouwd in Magento API’s om denial-of-service (DoS)-aanvallen te voorkomen. Web-API’s leggen nu beperkingen op aan de grootte of het aantal bronnen (de standaardlimiet is ingesteld op 20 en kan worden geconfigureerd op een andere waarde op basis van zakelijke behoeften) die door een klant kunnen worden aangevraagd. Zie Snelheidsbeperking voor informatie over het configureren van deze beperkingen.
Beveiligingspatches bevatten doorgaans alle hotfixes die zijn uitgebracht voor de voorgaande volledige release. Er zijn echter geen hotfixes uitgebracht voor Adobe Commerce 2.3.7 en Magento Open Source 2.3.7.
Bekend probleem
Kwestie: De prijs van een eerder geplaatste bestelling wordt weergegeven wanneer een shopper een bestelling probeert te plaatsen met een ander product met behulp van de PayPal-betaalmethode. Magento geeft een onjuiste bestelprijs weer wanneer een shopper PayPal probeert te gebruiken om een bestelling te betalen nadat hij eerst een ander product heeft gekocht. Shoppers kunnen de eerste bestelling met succes plaatsen, maar tijdens het afrekenen voor de tweede bestelling geeft Magento de totale prijs van de eerste bestelling weer in plaats van het juiste totaal van de tweede bestelling. Zie Adobe Commerce 2.3.7-p1 bekend probleem: verouderd ordertotaal voor PayPal.
Installatie- en upgrade-instructies
Zie Snelstartinstallatie voor instructies over het downloaden en toepassen van beveiligingspatches (inclusief patch 2.4.2-p1).
Meer informatie?
Zie Introductie van de nieuwe release van de beveiligingspatch voor algemene informatie over beveiligingspatches.