Adobe Commerce /Magento Open Source 2.3.3以降向けのセキュリティパッチがリリースされています
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Adobe公式サイト上でAdobe Commerce / Magento Open Sourceに対するセキュリティパッチがリリースされています。
時期的にはもうすぐ次のリリース(2.4.4)の時期なので、それに含まれる形になるのが通例ではありますが、今回のものは緊急度が高いということで分離してのリリースとなったようです。
脆弱性の概要
公開されているパッチの内容を見る限り、
- メールテンプレートの描画処理における問題
- transおよびvarディレクティブで発生
- 脆弱性を突くためには、管理者権限が必要
であるようです。
- 管理者アカウントのID/パスワードが安直なものである、またはどこかで使いまわしている
- 管理画面にアクセス制限を設けていない
- 2要素認証を使用していない
- 管理者アカウントに対するロックアウトが設定されていない
といった状態の環境については十分注意したほうが良いでしょう。
パッチの入手先
パッチは以下のページで公開されています。
2種類のパッチが公開されていますが、それぞれ以下の違いがあります。
- MDVA-43395_EE_2.4.3-p1_v1.patch.zip・・・vendor下にmagentoディレクトリがない環境向け
- MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip・・・composerでcreate-projectを行って作成した環境向け
殆どの環境では後者のパッチをダウンロードしていただくと良いと思います。
パッチの適用方法
パッチを適用する場合、適用先の環境によって手順が異なります。
クラウド版Adobe Commerceの場合
クラウド版のAdobe Commerceの場合は、公式のサポートページにある手順に沿って行います。
- プロジェクトのルートディレクトリに「m2-hotfix」ディレクトリを作成する
- 公式ページからダウンロードしたパッチのzipアーカイブを展開する
- zipアーカイブを展開してできたパッチファイルを「m2-hotfix」ディレクトリにコピーする
- gitにファイルを追加し、リモートリポジトリにpushする
gitにpushが成功すると、クラウド版の場合はデプロイが開始されます。
デプロイ完了後に動作試験を行って、悪影響がないことを確認しましょう。
オンプレミス版Adobe CommerceおよびMagento Open Sourceの場合
オンプレミス版のAdobe CommerceとMagento Open Sourceの場合は、以下の手順で行います。
- 公式ページからダウンロードしたパッチのzipアーカイブを展開する
- zipアーカイブを展開してできたパッチファイルをAdobe Commerce / Magento Open Sourceのルートディレクトリに配置する
- patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch を実行する
- パッチが正常に適用されたことを確認する(うまく行かない場合は拒否されます)
- (必要があれば) git等にpushし、デプロイを行う
デプロイ後に動作試験を行うのはクラウド版と同じです。
