Magento 2.4.6 und weitere Releases im März 2023
Mit der neuen Version Magento 2.4.6 erhalten Shopbetreiber einen wichtigen Patch für Sicherheitslücken, Unterstützung für PHP 8.2, diverse qualitative Verbesserungen – insbesondere im Hinblick auf Performance, Skalierbarkeit, Barrierefreiheit und GraphQL – sowie eine Reihe funktionaler Neuerungen. Zudem gibt es diesmal wieder zwei Security-only-Patches: Magento 2.4.5-p2 und 2.4.4-p3. Wir fassen die wichtigsten Fakten zu den neuen Releases zusammen.
Was gibt es Neues in Magento 2.4.6?
Magento zählt für das neue Release acht Verbesserungen im Bereich Security; hinzu kommen hunderte Qualitätsverbesserungen und Fehlerkorrekturen. PHP 8.2 und 8.1 werden voll unterstützt. PHP 7.4 wird in Magento 2.4.6 nicht mehr unterstützt.
Security
Mit dem aktuellen, auch in Magento 2.4.6 enthaltenen Security-Patch werden diverse Sicherheitslücken geschlossen. Ohne diesen Patch wäre der Zugriff auf Kundeninformationen möglich oder Sessions des Administrators könnten übernommen werden. Die meisten der mit dem aktuellen Security-Patch geschlossenen Sicherheitslücken können von Angreifern erst mit Zugang zum Magento Admin ausgenutzt werden. Adobe unterstreicht in diesem Zusammenhang noch einmal, dass Händler das Backend ihres Shops wirksam schützen sollten:
- IP-Whitelisting: Den Admin-Zugriff auf einen bestimmten Kreis von IPs einschränken.
- Zwei-Faktor-Authentifizierung (2FA): Zusätzlich zum Faktor „Wissen“ (Benutzername und Passwort) einen weiteren Faktor wie „Besitz“ (eines bestimmten Geräts) für den Login voraussetzen.
- VPN: Ein virtuelles privates Netzwerk für den Zugriff zum Admin-Panel nutzen.
- Individueller Admin-Pfad: Das Admin-Panel in einem anderen Verzeichnis als /admin erreichbar machen.
- Starke Passwörter: Es sollten keine Passwörter verwendet werden, die sich über maschinelle Verfahren „erraten“ lassen.
Auch wenn laut Adobe die Sicherheitslücken bisher noch nicht ausgenutzt worden sein sollen, raten wir dringend zum Update auf Magento 2.4.6 beziehungsweise zur Installation des aktuellen Security-only-Patches. Der darin enthaltene Security-Fix wurde auf Magento Open Source 2.4.4-p1 und Magento Open Source 2.3.7-p4 zurückportiert. Zusätzlich zum Patch wurden in Magento 2.4.6 weitere Sicherheitsverbesserungen implementiert:
- Lücken in Aktivitäts-Logs im Zusammenhang mit Grid-Views, Stapelverarbeitung und Exporten wurden geschlossen.
- Bei unerwarteten Fehlern im Bezahlvorgang schlägt die reCAPTCHA Validierung nicht mehr fehl.
- Optional kann eine E-Mail-Bestätigung eingefordert werden, wenn Admin-Nutzer ihre E-Mail-Adresse ändern (unter Stores > Settings > Configuration > Customers > Customer Configuration > Account Information Options > Require email confirmation).
Kompatibilität und Ersetzungen
Mit dem Release von Magento 2.4.6 enthält die Plattform eine Reihe von aktuelleren Versionen wichtiger Komponenten – beziehungsweise ist mit ihnen kompatibel. Backwards Incompatible Changes, also Änderungen, die nicht abwärtskompatibel sind, haben wir durch den Zusatz „(BIC)“ gekennzeichnet:
- PHP 8.2 (PHP 7.4 nicht mehr unterstützt)
- Composer 2.2.x (Composer 1.x entfernt)
- Redis 7.0.x (Redis 6.2 wird noch unterstützt, erreicht aber Ende 2024 das End-of-Life.)
- OpenSearch wird jetzt als Default-Suchmaschine in Magento 2 unterstützt. Adobe empfiehlt den Einsatz von OpenSearch 2.x (BIC).
- ElasticSearch 8.x
- MariaDB 10.6 (LTS)
- DHL-Integrationschema v10.0
- Symfony Abhängigkeiten wurden auf die neue LTS-Version gehoben (BIC).
- jQuery/fileUpload Library v10.32
- Zend Framework Komponenten, die das End-of-Life erreicht haben, wurden entfernt (BIC).
Außerdem wurden unter anderem JavaScript-Libraries aktualisiert, veraltete Abhängigkeiten entfernt (abwärtskompatibel) und jQuery Migrate entfernt. Die vollständige Liste findet sich in den Release Notes; weiterführende Hinweise zu den Backwards Incompatible Changes hat Adobe auf einer separaten Seite zusammengestellt.
Barrierefreiheit
Der Fokus der Version besteht Adobe zufolge darin, Bedienung, Verständlichkeit und Nutzererfahrung auf Basis der Venia Storefront (PWA) zu verbessern. Der Anmeldebutton, weitere Buttons in der Storefront und Suchfilter wurden an aktuelle Best Practices angepasst. Zudem lassen sich nun auch die Punkte der Untermenüs bei Bedarf ausschließlich per Tastatur bedienen.
GraphQL
Auch für GraphQL enthält Magento 2.4.6 wichtige Verbesserungen:
- Die Antwortzeit für Kategorie-Anfragen bei aktivierten Kategorie-Berechtigungen wurde verbessert.
- Die Performance beim Rendering des Kategoriebaums wurde optimiert.
- Die Antwortzeiten für Anfragen mit stapelweisen Änderungen im Warenkorb wurden verkürzt.
- Die Ausgabe von Bestellungen in der Antwort auf Anfragen zu Kunden ist jetzt nach Bestellnummer oder Erstelldatum auf- oder absteigend sortierbar.
PWA Studio
In der aktualisierten Version PWA-Studio v.13.0.x gab es eine Reihe von Verbesserungen im Hinblick auf Barrierefreiheit. Alle Details dazu stehen in den Angaben zum Release auf GitHub. Welche Version des PWA-Studios mit welcher Magento Version kompatibel ist, wird auf einer gesonderten Adobe Developer Unterseite aufgeschlüsselt.
Weitere wichtige Änderungen
- Page Builder v1.7.3. ist nun kompatibel mit Magento Open Source 2.4.6.
- Eine Reihe von Adobe IMS Modulen wurden vom Magento Core entkoppelt und stehen jetzt als separate Metapackages bereit.
- Für Braintree wurden zusätzliche Funktionalitäten integriert.
Fehlerbehebung und Korrekturen
Für das Release der neuen Version von Magento wurden hunderte Fehler behoben. Mehr Details zu Korrekturen finden sich in den Release Notes zu Magento Open Source 2.4.6.
Die Security-only Patches Magento 2.4.5-p2 und 2.4.4-p3
Als Alternative zu einem sofortigen Update auf Magento 2.4.6 haben Betreiber von Magento 2.4 Onlineshops die Möglichkeit, vorerst lediglich den Security-only Patch Magento 2.4.5-p2 beziehungsweise Magento 2.4.4-p3 zu installieren. Damit wird das System ausschließlich mit den sicherheitsrelevanten Änderungen versorgt. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren. Magento 2.3 hat 2022 sein End of Support (EOS) erreicht.
Updates und Patches für Magento jetzt installieren
Die neue Version 2.4.6 von Magento sowie die Security-only Patches Magento 2.4.5-p2 und Magento 2.4.4-p3 stehen wie üblich auf GitHub bereit. Um ihre Shops und die Kundendaten zuverlässig abzusichern, müssen Betreiber von Magento Onlineshops nun so schnell wie möglich das Update auf die neue Version – oder alternativ den passenden Security-only Patch installieren.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.
Das nächste Release
Laut Magento Roadmap sollen am 13. Juni, 8. August und 10. Oktober 2023 aktuelle Security-only Patches erscheinen. Für Magento 2.4.7 sind derweil zwei Beta-Versionen angekündigt. Wann das finale Release erscheinen soll, wird bislang jedoch nicht kommuniziert.
Update oder Patch: Brauchen Sie Unterstützung?
Können wir Sie beim Update auf die neue Version 2.4.6 oder bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?