Adobe Commerce / Magento Open Source 2.4.7-p2 / 2.4.6-p7 / 2.4.5-p9 / 2.4.4-p10がリリースされました
リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2024年では5回目、今年はあと1回リリースが予定されています。
早速詳細を確認していくことにしましょう。
対象となるバージョン
2024年8月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、
- 2.4.7
- 2.4.6
- 2.4.5
- 2.4.4
となっています。
Adobe Commerce向けには延長サポートとして、2.4.3以前のバージョンに対するアップデートも提供されていますが、これはあくまでも希望者向けの限定的な対応のため、通常は利用できません。
本来のセキュリティアップデート対象としては、
- 2.4.7-p1以前の2.4.7系
- 2.4.6-p6以前の2.4.6系
- 2.4.5-p8以前の2.4.5系
- 2.4.4-p9以前の2.4.4系
ということになります。
アップデートの内容
Adobe Security Bulletinによると、今回のアップデートでは23件の脆弱性が修正されているようです。
このうち
- Criticalが7件
- Importantが1件
- Moderateが15件
となっています。
脆弱性の概要
今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、
- Arbitrary code execution
- Arbitrary file system read
- Privilege escalation
- Security feature bypass
の4種類となっています。
これらの脆弱性については、Adobe Security Bulletinは
Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials.
Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges.
としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して
- 認証情報
- 管理者権限
のいずれかまたは両方が必要なものが大半を占めています。
なお、CVE-2024-39397 のみがどちらも必要としていない点に注意が必要です。
Apacheで稼働させているサイトは要注意
今回のセキュリティアップデートでは、Apacheで使用する .htaccess ファイルの定義内容が変更されています。
Nginxの場合は影響を受けませんが、Apacheの場合は pub/media下にある .htaccess ファイルの内容も合わせて確認が必要です。
修正が漏れていた場合、脆弱性への対応が不完全なものとなってしまいます。
緊急パッチ同時リリース
今回のアップデートに付随する形で、緊急パッチがリリースされています。
このパッチは CVE-2024-39397 を修正することが目的で、今回のセキュリティアップデート対象のすべてのバージョンに共通するパッチとなっています。
セキュリティアップデートの適用に時間を要する環境であっても、最低限このパッチだけは適用されることを強くおすすめします。
まとめ
今回のセキュリティリリースは、修正された脆弱性の数がかなり多い印象です。
通常であれば対象ファイルを精査しているのですが、今回は修正件数に比例し、対象のファイル数が多いため省略します。
なお、今回のアップデートで仕様変更を受けている機能が一部あるようなので、そちらについては別記事で解説したいと思います。
