Magento 2.3.5 und weitere Releases im April 2020
Das Service-Release Magento 2.3.5 enthält in erster Linie sicherheitsrelevante Änderungen. Zugleich bringt das Update auf die neue Version auch Verbesserungen in den Bereichen Performance und Usability mit. In mittlerweile bewährter Manier wurde auch diesmal wieder ein Security-only Patch für das vorangegangene Release Magento 2.3.4 zeitgleich mit der neuen Version veröffentlicht. Da während der finalen Phase des Releases noch ein Hotfix nötig war, weichen die genauen Versionsnummern diesmal jedoch leicht vom gewohnten Schema ab. Für Nutzer von Magento 1.9 dagegen ist alles, wie gewohnt: Es sind die neue Version Magento 1.9.4.5 und ein entsprechender Patch SUPEE-11314 erschienen.
Was gibt es Neues in Magento 2.3.5?
Für Magento 2.3.5 werden über 180 funktionale und über 25 sicherheitsrelevante Verbesserungen gezählt. Informationen zu den geschlossenen, teilweise kritischen Sicherheitslücken finden sich im Adobe Security Bulletin. Einige dieser Schwachstellen konnten bislang für Remote Code Execution (RCE) und Cross-site Scripting (XSS) ausgenutzt werden. Da kurz vor dem finalen Release noch ein Security-Hotfix in den Code aufgenommen werden musste, lautet die exakte Versionsnummer nun Magento 2.3.5-p1. Um Magento noch besser abzusichern, wurde in der Version zudem Content Security Policies (CSP) eingeführt. Die zusätzlichen Security-Layer sollen Cross-site Scripting und verwandte Angriffsvektoren noch besser erkennen und abwehren. Detaillierte Informationen dazu hat Magento in einem Überblick zu den Content Security Policies zusammengestellt.
In der neuen Version sind auch zahlreiche funktionale Verbesserungen für den Magento Core und einige Core-bundled Extensions enthalten. Mehrere Dutzend Fixes wurden von aus der Community beigesteuert. Wie schon beim Release von Magento 2.3.4 im Januar 2020 gibt es auch diesmal wieder Verbesserungen in Sachen Performance sowie für Lagerverwaltung und GraphQL. Das PWA Studio wurde ebenfalls noch einmal weiterentwickelt. Wichtig für Entwickler sind nicht zuletzt die Plattform-Updates: Änderungen gab es für Elasticsearch, Symfony und das Zend Framework. Zudem wurden zusätzliche Komponenten als veraltet eingestuft.
Lagerverwaltung
Im Detail hat Magento die Änderungen im Bereich Lagerverwaltung in den gesonderten Inventory Management Release Notes zusammengestellt.
GraphQL
Die Änderungen und Verbesserungen rund um GraphQL stellt Magento laufend in speziellen GraphQL Release Notes bereit.
PWA Studio
Größere Verbesserungen und sogar neue Features enthält das neue PWA-Studio 6.0.0, mit dem sich Progressive Web Apps auf der Grundlage von Magento 2 entwickeln lassen. Dank des neuen PWA Extensibility Frameworks können Entwickler nun eine API für die Erweiterbarkeit ihrer Storefront nutzen und mithilfe von eigenen Plugins sehr flexibel einsetzen. Die Peregrine und Venia UI Component Libraries wurden refaktoriert, so dass das Holen von Daten künftig maßvoller vonstatten geht und sensible Daten nicht im Cache vorgehalten werden. Der Warenkorb wurde um zusätzliche Komponenten erweitert, so dass er auch ganzseitig dargestellt werden kann.
Plattform-Updates
Magento 2.3.5 unterstützt Elasticsearch 7.x. Zudem wird der Support von Elasticsearch 6.x weitergeführt, während die veralteten Versionen Elasticsearch 2.x und 5.x ab Magento 2.4.0 nicht mehr unterstützt werden. Auch die Core-Integration der Schutzes vor Betrugsversuchen von Sygnifyd sowie der Bezahlmethoden der Drittanbieter Authorize.Net, eWay, CyberSource und Worldpay sind nun veraltet und werden ab dem kommenden Minor-Release Magento 2.4.0 nicht mehr unterstützt. Händler sollten daher auf die entsprechenden offiziellen Extensions im Magento Marketplace wechseln.
Die Symfony Komponenten haben ein Upgrade auf die aktuelle LTS-Version Symfony 4.4 erhalten. Derweil wurden Abhängigkeiten vom Zend Framework auf das von der Linux Foundation getragene Laminas Projekt übertragen. Entwickler von Extensions und Systemintegratoren sind dazu aufgerufen, diesen Weg fortan ebenfalls zu beschreiten, auch wenn die Kompatibilität von Zend-basiertem Code mit dem aktuellen Service-Release noch uneingeschränkt besteht.
Extension-Updates
Die Core-bundled Extension dotdigital hat ein Update erhalten. Die Module Engagement Cloud und Magento B2B wurden integriert, wodurch sich für die Kommunikation mit bestehenden und künftigen Kunden erweiterte Möglichkeiten ergeben. Die Bundled Extension Google Shopping Ads Channel wird dagegen nicht mehr unterstützt. Auch hier wird auf die Alternative offizieller Extensions im Marketplace verwiesen. Die von Drittanbietern entwickelte, fest integrierten Extensions für Klarna und Vertex haben ebenfalls Updates erhalten.
Genauere Informationen über diese und zahlreiche weitere Veränderungen und Verbesserungen finden sich in den Release Notes zu Magento 2.3.5 Open Source.
Der Security-only Patch Magento 2.3.4-p2
Anstelle eines vollständigen Updates auf Magento 2.3.5 haben Betreiber von Magento 2.3 Onlineshops wie gewohnt die Möglichkeit, vorerst lediglich einen Security-only Patch zu installieren. Auf diese Weise erhält das System ausschließlich die sicherheitsrelevanten Änderungen, wodurch üblicherweise geringere Aufwände entstehen. Detaillierte Informationen dazu gibt es im Magento DevBlog. Durch den unmittelbar vor dem finalen Release in den Code aufgenommen Security-Hotfix lautet die Versionsnummer des Security-only Patches nun Magento 2.3.4-p2.
Magento 2.2 wird nicht mehr weiterentwickelt
Das im Januar 2020 erschienene Magento 2.2.11 war das letzte von Magento unterstützte Update für die Software Version 2.2. Damit ist das End-of-life (EOL) für Magento 2.2 erreicht.
Magento 1.9.4.5 und der Patch SUPEE-11314
Die aktuellen Security-Verbesserungen sind auch in der neuen Version Magento 1.9.4.5 sowie im entsprechenden Patch SUPEE-11314 implementiert worden. Durch gefixten Security-Issues werden unter anderem Sicherheitslücken beim Cross-Site-Scripting, bei der Ausführung von Code und Schwachstellen bei der Offenlegung von sensiblen Daten geschlossen.
Offizielle Informationen zu diesem Release finden sich in den Release Notes für Magento Open Source 1.9.4.5. Wer auf der Suche nach einer Perspektive für die Zeit nach dem Ende des offiziellen Supports für Magento 1 in wenigen Wochen (Juni 2020) ist, sollte unsere Blog-Beiträge zum Community-Projekt OpenMage lesen.
Updates und Patches für Magento jetzt installieren
Die aktuelle, mit dem Security-Hotfix versehene Version 2.3.5-p1 von Magento Open Source und der aktualisierte Security-only Patch Magento 2.3.3-p2 sowie Magento 1.9.4.5 stehen wie üblich in den Tech Resources zum Download bereit. Shopbetreiber von Magento Onlineshops müssen nun so schnell wie möglich das Update auf die jeweilige aktuelle Version, den Security-only Patch für Magento 2.3 oder den Patch SUPEE-11314 für Magento 1 Shops installieren, um sich gegen Hackerangriffe abzusichern.
Detaillierte Informationen über die in den neuen Releases enthaltenen sicherheitsrelevanten Verbesserungen finden sich auch weiterhin im Magento Security Center. Und alles Wissenswerte zu Magento 2.3, dem jüngsten Minor-Release, haben wir im November 2018 in einem Blog-Beitrag zusammengefasst.
Einen Termin für das kommende Release gibt es auch schon: Magento 2.3.6 soll erst am 15. Oktober 2020 erscheinen. Am in der Magento 2 Roadmap zunächst dafür ins Auge gefassten Datum (28. Juli 2020) wird diesmal vorerst nur der Security-only Patch Magento 2.3.5-p2 kommen. Das ursprünglich für Mitte Oktober 2020 geplante Release von Magento 2.3.7 verschiebt sich damit ebenfalls.