Adobe Commerce 2.4.3-p1 Release-opmerkingen
Adobe Commerce 2.4.3-p1 is een beveiligingsrelease die zeven beveiligingsoplossingen biedt die uw Adobe Commerce 2.4.3- of Magento Open Source 2.4.3-implementatie verbeteren. Het biedt oplossingen voor kwetsbaarheden die zijn geïdentificeerd in de vorige release (Adobe Commerce 2.4.3 en Magento Open Source 2.4.3).
Releases kunnen achterwaarts incompatibele wijzigingen (BIC) bevatten. Zie BIC-referentie om kleine achterwaarts incompatibele wijzigingen te bekijken. (Belangrijke achterwaarts incompatibele problemen worden beschreven in BIC-hoogtepunten. Niet alle releases introduceren belangrijke BIC’s.)
Wat staat er in deze uitgave?
Deze beveiligingspatch bevat:
- Alle hotfixes die zijn uitgebracht voor de vorige patch-release
- Beveiligingsverbeteringen
- Zeven bugfixes voor de beveiliging. Slechts één van deze zeven fixes is een extern gemelde kwetsbaarheid. Oplossingen voor extern gemelde kwetsbaarheden zijn gedocumenteerd in het Adobe Security Bulletin.
- Bugfixes voor de door de leverancier ontwikkelde extensies Braintree, Klarna en Vertex.
Hotfixes
Deze release bevat de volgende hotfix:
Hoogtepunten van de beveiliging
Sessie-ID’s zijn uit de database verwijderd. Deze codewijziging kan leiden tot ingrijpende wijzigingen als verkopers aanpassingen of geïnstalleerde extensies hebben die de onbewerkte sessie-ID’s gebruiken die in de database zijn opgeslagen.
Beperkte beheerderstoegang tot Media Gallery-mappen. Standaard Media Gallery-machtigingen staan nu alleen directorybewerkingen toe (bekijken, uploaden, verwijderen en maken) die expliciet zijn toegestaan door de configuratie. Admin-gebruikers hebben geen toegang meer tot media-items via de Media Gallery die zijn geüpload buiten de catalog/category
of wysiwyg
mappen. Beheerders die toegang willen tot media-items, moeten deze naar een expliciet toegestane map verplaatsen of hun configuratie-instellingen aanpassen. Zie Machtigingen voor mediabibliotheekmap wijzigen.
Verlaagde limieten voor GraphQL-querycomplexiteit. De maximaal toegestane querycomplexiteit van GraphQL is verlaagd om Denial-of-Service (DOS)-aanvallen te voorkomen. Zie GraphQL-beveiligingsconfiguratie.
Recente kwetsbaarheden in de penetratietest zijn opgelost in deze release.
De niet-ondersteunde bronexpressie unsafe-inline
is verwijderd uit het inhoudsbeveiligingsbeleid frame-ancestors
richtlijn. GitHub-33101
Installatie- en upgrade-instructies
Zie Snelstartinstallatie voor instructies over het downloaden en toepassen van beveiligingspatches (inclusief patch 2.4.3-p1).
Meer informatie?
Zie Introductie van de nieuwe release van de beveiligingspatch voor algemene informatie over beveiligingspatches.