Adobe Commerce / Magento Open Source 2.4.7-p2 / 2.4.6-p7 / 2.4.5-p9 / 2.4.4-p10がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2024年では5回目、今年はあと1回リリースが予定されています。
早速詳細を確認していくことにしましょう。

対象となるバージョン

2024年8月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

2.4.7
2.4.6
2.4.5
2.4.4

となっています。

Adobe Commerce向けには延長サポートとして、2.4.3以前のバージョンに対するアップデートも提供されていますが、これはあくまでも希望者向けの限定的な対応のため、通常は利用できません。
本来のセキュリティアップデート対象としては、

2.4.7-p1以前の2.4.7系
2.4.6-p6以前の2.4.6系
2.4.5-p8以前の2.4.5系
2.4.4-p9以前の2.4.4系

ということになります。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは23件の脆弱性が修正されているようです。
このうち

Criticalが7件
Importantが1件
Moderateが15件

となっています。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

Arbitrary code execution
Arbitrary file system read
Privilege escalation
Security feature bypass

の4種類となっています。

これらの脆弱性については、Adobe Security Bulletinは

Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials.

Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges.

としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して

認証情報
管理者権限

のいずれかまたは両方が必要なものが大半を占めています。
なお、CVE-2024-39397 のみがどちらも必要としていない点に注意が必要です。

Apacheで稼働させているサイトは要注意

今回のセキュリティアップデートでは、Apacheで使用する .htaccess ファイルの定義内容が変更されています。
Nginxの場合は影響を受けませんが、Apacheの場合は pub/media下にある .htaccess ファイルの内容も合わせて確認が必要です。
修正が漏れていた場合、脆弱性への対応が不完全なものとなってしまいます。

緊急パッチ同時リリース

今回のアップデートに付随する形で、緊急パッチがリリースされています。
このパッチは CVE-2024-39397 を修正することが目的で、今回のセキュリティアップデート対象のすべてのバージョンに共通するパッチとなっています。
セキュリティアップデートの適用に時間を要する環境であっても、最低限このパッチだけは適用されることを強くおすすめします。

まとめ

今回のセキュリティリリースは、修正された脆弱性の数がかなり多い印象です。
通常であれば対象ファイルを精査しているのですが、今回は修正件数に比例し、対象のファイル数が多いため省略します。

なお、今回のアップデートで仕様変更を受けている機能が一部あるようなので、そちらについては別記事で解説したいと思います。