Adobe Commerce / Magento Open Source 2.4.7-p2 / 2.4.6-p7 / 2.4.5-p9 / 2.4.4-p10で変更された機能のまとめ

Adobe Commerce / Magento Open Source 2.4.7-p2 / 2.4.6-p7 / 2.4.5-p9 / 2.4.4-p10 のリリースに伴い、一部機能に仕様変更が加えられました。
この記事ではそれらの変更について解説していきたいと思います。

各バージョンのリリースノート

Adobe Commerce / Magento Open Sourceの各バージョンに対するリリースノートは、以下のページから確認できます。

文量としてはさほど多くなく(セキュリティアップデートなので当然ですが)、どのバージョンも同じ内容が記載されています。

 

アップデート内容の概要

アップデート内容としては以下のものが記載されています。

  • ワンタイムパスワードの以下のレート制限
    • 二要素認証に対するリトライ回数
    • 二要素認証のロックアウト時間
  • 暗号化キーのローテーションコマンドの追加
  • prototype.jsの更新
  • CVE-2024-39397に対する修正(緊急パッチ情報を参照

最も重要度が高いのはCVE-2024-39397ですが、CosmicSting の対策で必要となる「暗号化キーのローテーションコマンドの追加」も重要なポイントです。

この記事では

  • ワンタイムパスワードのレート制限
  • 暗号化キーのローテーションコマンドの追加

に絞って解説していきたいと思います。

ワンタイムパスワードのレート制限

今回のアップデートでは、以下の設定値が追加されています。

  • 二要素認証に対するリトライ回数
  • 二要素認証のロックアウト時間

以前から用意されている、二要素認証の設定画面で設定できます。

二要素認証の追加項目

それぞれ初期値は10回と300秒です。必要に応じて変更するとよいでしょう。
要は二要素認証を10回失敗すると300秒締め出される、ということですね。

暗号化キーのローテーションコマンドの追加

magentoコマンドをパラメータ無しで実行すると、利用可能なすべてのコマンドが一覧で表示されます。
今回のアップデートでは、このコマンドの中に新しく以下のコマンドが追加されました。

encryption:key:change

コマンド名からなんとなく役割がイメージできそうですが、このコマンドは暗号化キーを更新するためのコマンドです。
CosmicSting対策の方法〜CVE2024-34102による被害を防ぐには」で紹介した通り、CosmicSting対策としては暗号化キーの更新が重要です。
これまでは管理画面からしか更新作業ができませんでしたが、以下のバージョンからはCLIからでも暗号化キーの更新が可能となりました。

  • 2.4.7-p2
  • 2.4.6-p7
  • 2.4.5-p9
  • 2.4.4-p10

コマンドの使い方

php bin/magento encryption:key:change --help

で利用可能なパラメータなどの確認ができますが、このコマンドの主なパラメータは「-k(--key=キー値 でも可)」だけです。このパラメータ自体は任意なので、指定しない場合はシステム側で暗号化キーを自動生成します。意図的に指定するつもりがないのであれば、自動生成を選ぶとよいでしょう。

注意点

このコマンドは、env.phpファイル上の暗号化キーを新しいキーに更新します。
ただし、実装を見る限りでは

  • すでに暗号化されているデータの再暗号化は行わない
  • 古いキーでハッシュ値を算出したディレクトリ名の更新は行わない

ようなので、利用の際には注意しましょう。
管理画面の暗号化キー更新機能とは少し動きが異なるので、同じだと思っていると思わぬトラブルを引き起こす可能性があります。

まとめ

Adobe Commerce / Magento Open Source 2.4.7-p2 / 2.4.6-p7 / 2.4.5-p9 / 2.4.4-p10 では新しく以下の機能が追加されました。

  • 二要素認証のリトライ回数制限
  • 二要素認証のロックアウト時間
  • CLIからの暗号化キー更新機能

ただし、CLIからの暗号化キー更新機能については、「単にキーを更新するだけ」の機能のようなので、利用する際は管理画面にある機能との機能差に注意しましょう。