Adoben tietoturvatiedote

Adobe Commercen tietoturvapäivitys| APSB22-12

Tiedotteen tunnus	Julkaisupäivä	Viimeksi päivitetty	Prioriteetti
APSB22-12	13. helmikuuta 2022	17. helmikuuta 2022	1

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Commercea ja Magento Open Sourcea varten. Nämä päivitykset ratkaisevat kriittisen haavoittuvuuden. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.

Päivittääkseen suojauksensa asiakkaiden on otettava käyttöön kaksi korjaustiedostoa: ensin MDVA-43395 ja sen jälkeen MDVA-43443.

Adobe on tietoinen siitä, että haavoittuvuutta CVE-2022-24086 on hyödynnetty hyvin rajoitetuissa hyökkäyksissä, jotka kohdistuvat Adobe Commerce -kauppiaisiin.

Versiot

Tuote	Versio	Ympäristö
Adobe Commerce	2.4.3-p1 ja aiemmat versiot	Kaikki
Adobe Commerce	2.3.7-p2 ja aiemmat versiot	Kaikki
Magento Open Source	2.4.3-p1 ja aiemmat versiot	Kaikki
Magento Open Source	2.3.7-p2 ja aiemmat versiot	Kaikki

Huomautus: Tämä ei vaikuta Adobe Commerce- ja Magento Open Source -versioihin 2.3.0–2.3.3.

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote	Päivitetty versio	Ympäristö	Prioriteettiluokitus	Asennusohjeet
Adobe Commerce 2.4.3–2.4.3-p1 Magento Open Source 2.4.3–2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip ja MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip ja MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Kaikki	1	Julkaisutiedot

Adobe Commerce 2.3.4-p2–2.4.2-p2 Magento Open Source 2.3.4-p2–2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip ja MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip ja MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1–2.3.4 Magento Open Source 2.3.3-p1–2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip ja MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip ja MDVA-43443_EE_2.3.4_v1.patch.zip

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka	Haavoittuvuuden vaikutus	Vakavuus	Vaatiiko hyödyntäminen tunnistautumista?	Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia?	CVSS-peruspisteet	CVSS-vektori	Magenton ohjelmavirheen tunnus	CVE-numerot
Virheellinen syötteen tarkistus (CWE-20)	Mielivaltaisen koodin suoritus	Kriittinen	Ei	Ei	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Virheellinen syötteen tarkistus (CWE-20)	Mielivaltaisen koodin suoritus	Kriittinen	Ei	Ei	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

Vaatiiko hyödyntäminen tunnistautumista?

Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia?

CVSS-peruspisteet

CVSS-vektori

Magenton ohjelmavirheen tunnus

CVE-numerot

Virheellinen syötteen tarkistus (CWE-20)

Mielivaltaisen koodin suoritus

Kriittinen

Ei

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Virheellinen syötteen tarkistus (CWE-20)

Mielivaltaisen koodin suoritus

Kriittinen

Ei

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Versiot

17. helmikuuta 2022:

– Päivitetty versiot, joita CVE-2022-24086 koskee

– Päivitetty haavoittuvuuden CVE-2022-24087 CVE-tiedot ja kiitokset

14. helmikuuta 2022:

– Selvennetty Lisätietoja haavoittuvuuksista -taulukon sarakkeiden otsikoita

Kiitokset

Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

Eboda & Blaklis (CVE-2022-24087)

Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

Adoben tietoturvatiedote

Yhteenveto

Versiot

Ratkaisu

Lisätietoja haavoittuvuuksista

Versiot

Kiitokset

Kysy yhteisöltä

Ota yhteyttä