Magento 2.4.5 und weitere Releases im August 2022
Mit der neuen Version Magento 2.4.5 erhalten Shopbetreiber einen wichtigen Patch für Sicherheitslücken, diverse Verbesserungen bei der Plattformqualität, den Zahlungsmethoden, der Barrierefreiheit, der GraphQL-Caching-Leistung sowie Updates an den integrierten Google-Modulen und eine Reihe funktionaler Neuerungen. Zudem gibt es diesmal wieder mehrere Security-only Patches: Magento 2.4.4-p1, 2.4.3-p3 und Magento 2.3.7-p4. Wir fassen die wichtigsten Fakten zu den neuen Releases zusammen.
Was gibt es Neues in Magento 2.4.5?
Magento zählt für das neue Release 20 Verbesserungen im Bereich Security, hinzu kommen 290 Qualitätsverbesserungen und Korrekturen.
Security
Mit dem Update auf Version 2.4.5 werden diverse Sicherheitslücken geschlossen, darunter auch eine als „kritisch“ und „wichtig“ eingestufte. Ohne das Update wäre der Zugriff auf Kundeninformationen möglich, die Sitzung des Administrators könnte übernommen oder schadhafter Code per Cross-Site-Scripting (XSS) eingeschleust werden. Wir raten dringend zum Update, auch wenn laut Adobe die Sicherheitslücken bisher noch nicht ausgenutzt worden sein sollen. Dieser Security-Fix wurde auf Magento Open Source 2.4.4-p1 und Magento Open Source 2.3.7-p4 zurückportiert. Zusätzlich zum Patch wurden in Magento 2.4.5 weitere Sicherheitsverbesserungen implementiert:
- Bei den Formularen „Wunschliste teilen“, „Neues Kundenkonto erstellen“ und „Geschenkgutscheine“ wurde die reCAPTCHA-Unterstützung ergänzt.
- Dem Inventar wurden ACL-Ressourcen hinzugefügt.
- Bei Inventarvorlagen wurde die Sicherheit verbessert.
-
Die Bibliothek
HTMLPurifier
wurde in den FilterMaliciousCode
aufgenommen.
Kompatibilität und Ersetzungen
Mit dem Release von Magento 2.4.5 ist die Plattform kompatibel mit einer Reihe von aktuelleren Versionen wichtiger Komponenten:
- Composer 2.2
- Tiny MCE 5.10.2 (Hier erlaubten ältere Versionen willkürliche JavaScript-Ausführung bei der Aktualisierung spezieller URLs oder Bilder.)
- jQuery UI 1.13.1
- PHPStan 1.5.7
- DHL-Integrationschema v6.2 (Upgrade ohne Änderung Produktverhalten)
Außerdem wurden veraltete JavaScript-Bibliotheken und Composer-Abhängigkeiten mit Einschränkungen auf die neuesten Versionen aktualisiert, veraltete Abhängigkeiten entfernt und diverse Bibliotheken ersetzt. Die vollständige Liste findet sich in den Release Notes.
Barrierefreiheit
Der Fokus der Version bestand darin, Bedienung, Verständlichkeit und Nutzererfahrung auf Basis der Venia Storefront (PWA) zu verbessern. Für Screenreader wurde die Sprachausgabe der Suchergebnisse optimiert und der Nutzer erhält eine Benachrichtigung, wenn eine neue Seitenansicht geladen wird. Bei der Tastatur wurden zudem der Kontrast und die Zugänglichkeit optimiert.
Google Analytics
Mit den von Google eingeführten Änderungen am Tracking und der Integration von AdWords und Analytics mittels GTag wurden die Möglichkeiten des Trackings erweitert und ausgebaut. In diesem Release wurde die Integration des GTag-Ansatzes für die Migration von analytics.js zu gTag.js neu implementiert (siehe Blogbeitrag zum Ende von Universal Analytics). Zudem unterstützt Adobe Commerce mit den integrierten Modulen Google Adwords, Analytics, Optimizer und den Tag Manager.
GraphQL
Auch für GraphQL enthält Magento 2.4.5 wichtige Verbesserungen:
- Die Seitenladegeschwindigkeit für Käufer wurde verbessert, wenn das GraphQL-Schema neu erstellt werden muss.
- Es wurde die Möglichkeit ergänzt, das Ablaufdatum bzw. die Ablaufzeit des Autorisierungs-Tokens durch die Verwendung von JSON Web Tokens (JWT) in der GraphQL-API zu nutzen.
-
Mithilfe des neuen Befehls
bin/magento config:set graphql/session/disable 1
ist es Shopbetreibern ab sofort möglich, die Erstellung von Session-Cookies für alle GraphQL-Vorgänge vollständig zu deaktivieren. Standardmäßig werden die Cookies von Magento erstellt und autorisiert mit Auswirkung auf die Leistung. Für die Zukunft empfiehlt Adobe die Verwendung von Tokens als einzige Form der Autorisierung für GraphQL Anforderungen sowie Session-Cookies nicht allein oder in Verbindung mit Autorisierungs-Tokens zu verwenden. - Session-Cookies werden in GraphQL nur bei Bedarf unter Verwendung von Klassen-Proxys gestartet.
- Die Sitzungsnutzung von http-Header-Prozessoren wie Store, Customer oder Currency wurden entfernt.
Page Builder
Page Builder v.1.7.2. ist nun kompatibel mit Magento Open Source 2.4.5. Mit der neuen Version wurde das Spaltenlayout verbessert. Die Größenänderung von Spalten unterstützt nun das Umbrechen der Spalteninhalte und die Spalten werden nun so dargestellt, dass die Benutzer die Einstellungen in der Storefront steuern können.
Zahlungsmöglichkeiten
- Apple Pay ist nun für alle Händler verfügbar, die den Zahlungsdienst aktiviert haben. Die Zahlungsmethode funktioniert ohne Eingabe von Kreditkartendaten. Shopbetreiber können Apple Pay auf allen Produktdetailseiten, im Einkaufswagen (cart), im Warenkorb (minicart) und im Checkout aktivieren.
- Paypal Later kann von Händler in Spanien und Italien für Kunden angeboten werden. Zudem können Shopbetreiber für die Schaltflächen „PayPal“ und „Später bezahlen“ eine Vorschau für die Seiten Checkout, Einkaufswagen (cart), im Warenkorb (minicart) und für Produktseiten aktivieren, um eine Vorschau für die Buttons im Frontend zu erhalten.
- Der Zahlungsdienstleister BRAINTREE hat die Integration für den KOUNT-Betrugsschutz eingestellt, entsprechend wurde auch die Codebasis in Magento Open Source entfernt. Die Option „Immer 3DS anfordern“ wurde zudem im Backend ergänzt.
PWA-Studio
Dank der aktualisierten Version PWA-Studio v.12.5.x können Händler die gesammelten Daten aus der Webanalyse zum Käuferverhalten nach Bedarf abonnieren und erweitern. Außerdem können Händler nun einen Dienst (Google Tag Manager) zum Veröffentlichen im Backend auswählen.
Fehlerbehebung und Korrekturen
Für das Release der neuen Version von Magento wurden hunderte Fehler behoben. Mehr Details zu Korrekturen finden sich in den Release Notes von Magento Open Source 2.4.5.
Die Security-only Patches Magento 2.4.4-p1, 2.4.3-p3 und Magento 2.3.7-p4
Als Alternative zu einem sofortigen Update auf Magento 2.4.5 haben Betreiber von Magento 2.4 Onlineshops die Möglichkeit, vorerst lediglich den Security-only Patch Magento 2.4.4-p1 beziehungsweise Magento 2.4.3-p3 zu installieren. Damit wird das System ausschließlich mit den sicherheitsrelevanten Änderungen versorgt. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren.
Für Magento 2.3 gibt es mit dem Security-only Patch Magento 2.3.7-p4 auch diesmal ausschließlich Sicherheitsaktualisierungen und keine neuen Features oder funktionalen Verbesserungen mehr. Dieser Patch war das letzte offizielle Release für Magento 2.3, das Ende September 2022 sein End of Support (EOS) erreicht.
Nachdem das ursprünglich für April 2022 geplante Ende der Lebensdauer von Magento 2.3 um fünf Monate verschoben worden ist, darf nun davon ausgegangen werden, dass es keine weitere Gnadenfrist geben wird. Onlineshops, die immer noch auf der Grundlage von Magento 2.3 laufen, lassen sich ab Oktober 2022 nicht mehr sicher betreiben und müssen daher noch rechtzeitig auf eine aktuelle Version von Magento 2.4 mit allen aktuellen Sicherheitspatches gehoben werden.
Updates und Patches für Magento jetzt installieren
Die neue Version 2.4.5 von Magento sowie die Security-only Patches Magento 2.4.4-p1, Magento 2.4.3-p3 und Magento 2.3.7-p4 stehen wie üblich in den Tech Resources zum Download bereit. Um ihre Shops und die Kundendaten zuverlässig abzusichern, müssen Betreiber von Magento Onlineshops nun so schnell wie möglich das Update auf die neue Version – oder alternativ den passenden Security-only Patch installieren.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.
Das nächste Release
Laut Magento Roadmap soll am 11. Oktober 2022 der Security-only Patch Magento 2.4.5-p1 veröffentlicht werden. Wann das nächste Service- oder Minor-Release erscheinen soll, wurde bislang nicht kommuniziert.
Upgrade – Update – Patch: Brauchen Sie Unterstützung?
Können wir Sie beim Upgrade von Magento 2.3 auf Magento 2.4, beim Update auf die neue Version 2.4.5 oder bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?