Magento 2.4.7 (Beta) und Security-Patches im Juni 2023
In der neuen Beta-Version Magento 2.4.7-beta1 sind laut Adobe neben vielen kleineren und größeren technischen Verbesserungen 13 Security-Fixes und Anpassungen für die Sicherheit der Plattform enthalten. Für alle, die nicht gleich auf die neue Version updaten wollen oder können, gibt es drei neue Security-only Patches: Magento 2.4.6-p1, 2.4.5-p3 und 2.4.4-p4. Wir fassen die wichtigsten Fakten zu den neuen Releases zusammen.
Inhaltsverzeichnis
Was gibt es Neues in Magento 2.4.7-beta1?
Die wichtigsten Neuerungen in Magento 2.4.7-beta1 betreffen den Bereich Security. Es hat sich aber auch im Hinblick auf Kompatibilitäten einiges getan und es wurden mehrere Komponenten durch aktuellere Versionen ersetzt. Hinzu kommen zahlreiche – Adobe zählt insgesamt mehr als 140 – Verbesserungen und Bugfixes. Einen wichtigen Schwerpunkt bildet dabei der Bereich GraphQL. Neu eingeführt wurde das Adobe Commerce Extension Metapackage in der Version 1.0.0-beta1.
Da es sich bei dem aktuellen Release Magento Open Source 2.4.7-beta1 ausdrücklich um eine Beta-Version handelt, schließt Adobe jede Form von Gewährleistung für etwaige Mängel an diesem Produkt ausdrücklich aus.
Security
Mit dem aktuellen, auch in Magento 2.4.7-beta1 enthaltenen Security-Patch werden diverse Sicherheitslücken geschlossen. Adobe erwähnt 13 Security-Fixes und zusätzliche Anpassungen für die Sicherheit von Magento. Besonders hervorgehoben wird die neu eingeführte Möglichkeit, mit der Händler das „Rate Limiting“ für die Übermittlung von Zahlungsinformationen über die REST- und GraphQL-APIs einschränken können. Auf diese Weise sollen Betrugsversuche mit massenhaft ausprobierten Kreditkartendaten eingedämmt werden.
Auch wenn laut Adobe die Sicherheitslücken bisher noch nicht ausgenutzt worden sein sollen, raten wir dringend zur Installation der neuen Version oder des jeweiligen aktuellen Security-only Patches.
Kompatibilität und Ersetzungen
Mit dem Release von Magento 2.4.7-beta1 enthält die Plattform eine Reihe aktuellerer Versionen wichtiger Komponenten – beziehungsweise ist mit ihnen kompatibel.
Komponenten von Drittanbietern
- Composer 2.5.x (Kompatibilität mit Composer 2.2.x ist weiterhin gegeben.)
- Elasticsearch 8.5
- MariaDB 10.6
- MySQL 8.0
- OpenSearch 2.5
- PHP 8.2 und 8.1
- RabbitMQ 3.11 (Kompatibilität mit Version 3.9 mit Supportende im August 2023 ist weiterhin gegeben; Adobe empfiehlt aber bereits jetzt den Betrieb mit RabbitMQ 3.11.)
- Redis 7.0
- Varnish 7.3 (Kompatibilität mit Versionen 6.0.x und 7.2.x ist weiterhin gegeben; Adobe empfiehlt den Betrieb mit Varnish 7.3 oder 6.0 LTS.)
Magento Komponenten
- Page Bilder v.1.7.4
- PWA Studio v.13.2.x
Außerdem wurden unter anderem JavaScript-Libraries aktualisiert und veraltete Abhängigkeiten entfernt (abwärtskompatibel). Die vollständige Liste findet sich in den Release Notes. Weiterführende Hinweise zu in den Releases enthaltenen Backwards Incompatible Changes hat Adobe auf einer separaten Seite zusammengestellt.
GraphQL
Für GraphQL wurden das Caching und die Möglichkeiten für selbst definierte Attribute verbessert:- Die Unterstützung für selbst definierte Attribute wurde nun auf alle Typen von Attributen ausgeweitet.
- Das GraphQL-Caching wurde für schnellere Seitenladezeiten angepasst.
- Für CMS-Seiten und -Blöcke wurden neue Resolver-Cache-Typen für GraphQL angelegt.
- Die Performance des Parsers für GraphQL wurde verbessert.
Das neue Adobe Commerce Extension Metapackage
In Magento 2.4.7-beta1 neu eingeführt wird das Adobe Commerce Extension Metapackage in der Version 1.0.0. Damit wird die Extension Payment Services direkt in das Core-Release eingebunden. Installiert wird die jeweils aktuelle Version dieses Metapackages beim Aufruf von composer update
für den Magento Core. Die Extension hat aber einen vom Core abweichenden Release-Schedule. In Zukunft wird das Adobe Commerce Extension Metapackage weitere Extensions enthalten.
Weitere Verbesserungen und Bugfixes
Zahlreiche weitere Verbesserungen und Bugfixes betreffen die Bereiche Installation, Upgrade, Deployment, Tests, Cache, Warenkorb und Checkout, den Login und die Benutzeroberfläche, Preisregeln und Rabatte, Bestellungen, Payment, Versand, Produktverwaltung, Kundenverwaltung, Bündelprodukte, Gutscheine, Geschenkgutscheine und -verpackungen, Steuern, Cronjobs, E-Mails, Google reCAPTCHA, Suche, Im- und Export, Berichte Logs, den Page Builder, unterschiedliche Frameworks und anderes mehr.
Die Security-only Patches Magento 2.4.6.-p1, 2.4.5-p3 und 2.4.4-p4
Betreiber von Magento 2.4 Onlineshops müssen nun so bald wie möglich den jeweils passenden Security-only Patch Magento 2.4.6.-p1, 2.4.5-p3 beziehungsweise Magento 2.4.4-p4 installieren. Damit wird das System mit den sicherheitsrelevanten Änderungen versorgt. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren. Die neue Version 2.4.7-beta1 von Magento sowie die aktuellen Security-only Patches stehen wie üblich auf GitHub bereit.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.
Die nächsten Releases
Laut Magento Roadmap sollen am 8. August aktuelle Security-only Patches für Magento 2.4.6, 2.4.5 und 2.4.4 erscheinen. Für den 10. Oktober 2023 ist neben Magento 2.4.7-beta2 die nächste Runde Security-only Patches angekündigt.
Brauchen Sie Unterstützung?
Können wir Sie bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?