Adobe Commerce /Magento Open Source 2.3.3以降向けのセキュリティパッチがリリースされています
投稿日:
February 14, 2022
投稿者:
Hirokazu Nishi
Adobe公式サイト上でAdobe Commerce / Magento Open Sourceに対するセキュリティパッチがリリースされています。
時期的にはもうすぐ次のリリース(2.4.4)の時期なので、それに含まれる形になるのが通例ではありますが、今回のものは緊急度が高いということで分離してのリリースとなったようです。
脆弱性の概要
公開されているパッチの内容を見る限り、
- メールテンプレートの描画処理における問題
- transおよびvarディレクティブで発生
- 脆弱性を突くためには、管理者権限が必要
であるようです。
- 管理者アカウントのID/パスワードが安直なものである、またはどこかで使いまわしている
- 管理画面にアクセス制限を設けていない
- 2要素認証を使用していない
- 管理者アカウントに対するロックアウトが設定されていない
といった状態の環境については十分注意したほうが良いでしょう。
パッチの入手先
パッチは以下のページで公開されています。
2種類のパッチが公開されていますが、それぞれ以下の違いがあります。
- MDVA-43395_EE_2.4.3-p1_v1.patch.zip・・・vendor下にmagentoディレクトリがない環境向け
- MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip・・・composerでcreate-projectを行って作成した環境向け
殆どの環境では後者のパッチをダウンロードしていただくと良いと思います。
パッチの適用方法
パッチを適用する場合、適用先の環境によって手順が異なります。
クラウド版Adobe Commerceの場合
クラウド版のAdobe Commerceの場合は、公式のサポートページにある手順に沿って行います。
- プロジェクトのルートディレクトリに「m2-hotfix」ディレクトリを作成する
- 公式ページからダウンロードしたパッチのzipアーカイブを展開する
- zipアーカイブを展開してできたパッチファイルを「m2-hotfix」ディレクトリにコピーする
- gitにファイルを追加し、リモートリポジトリにpushする
gitにpushが成功すると、クラウド版の場合はデプロイが開始されます。
デプロイ完了後に動作試験を行って、悪影響がないことを確認しましょう。
オンプレミス版Adobe CommerceおよびMagento Open Sourceの場合
オンプレミス版のAdobe CommerceとMagento Open Sourceの場合は、以下の手順で行います。
- 公式ページからダウンロードしたパッチのzipアーカイブを展開する
- zipアーカイブを展開してできたパッチファイルをAdobe Commerce / Magento Open Sourceのルートディレクトリに配置する
- patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch を実行する
- パッチが正常に適用されたことを確認する(うまく行かない場合は拒否されます)
- (必要があれば) git等にpushし、デプロイを行う
デプロイ後に動作試験を行うのはクラウド版と同じです。
カテゴリ
- イベント (27)
- AkeneoPIM (15)
- OroCommerce (1)
- OroCRM (14)
- Typo3 (9)
- Magento Open Source (118)
- Magentoバージョンアップ (9)
- エクステンションリリース情報 (69)
- Magentoトピックス (306)
- お知らせ (35)
- Adobe Commerce (31)
最近の投稿
アーカイブ
タグ
magento
adobe commerce
magento open source
magento2
akeneo pim
page builder
adobe commerce b2b
graphql
magento2 extension
セキュリティパッチ
チューニング
日本語ロケール
検索
magepack
adobe
adobe livesearch
php8.1
共有カタログ
malware
elasticsearch
magento commerce
google analytics
javascript
multi source inventory
rabbitmq
seo
アップデート
エクステンション
セキュリティ
バージョンアップ
マルウェア
日本語
決済連携
criticalcss
webp
2要素認証
login as customer
顧客ログイン代行
サポート
複数拠点在庫管理
店頭引き取り
elaasticsearch
magento quality patches
amazon pay
upgrade compatibility tool
pwa
core web vitals