Magento 2.4.7 (Beta2) und Security-Patches im Oktober 2023
Am 10. Oktober 2023 sind mit den Security-Patches Magento 2.4.7-beta2, 2.4.6-p3, 2.4.5-p5 und 2.4.4-p6 wichtige Releases für Shopbetreiber veröffentlicht worden. Im kostenpflichtigen Extended-Support für ältere Magento Versionen gibt es ebenfalls neue Sicherheitsupdates. Wir fassen die wichtigsten Fakten zu den neu erschienenen Patches zusammen.
Security-Verbesserungen
Die drei aktuellen Security-only Patches und Magento 2.4.7-beta2 enthalten jeweils zehn Korrekturen. Damit werden Schwachstellen der Bedrohungsstufen „Wichtig“ bis „Kritisch“ geschlossen. Die Details zu den einzelnen Schwachstellen finden sich im zugehörigen Adobe Security Bulletin.
Besonders hervorgehoben wird außerdem eine weitere sicherheitsrelevante Änderung in allen vier im Oktober 2023 veröffentlichten Versionen: Die Releases enthalten eine neue Konfigurationsmöglichkeit für den Full-Page-Cache. Unter Stores > Settings > Configuration > System > Full Page Cache > Handles Param kann nun eingestellt werden, wie viele Zugriffe auf den HTTP-Endpunkt /page_cache/block/esi per API erlaubt sind (Default: 100).
Magento 2.4.7-beta2
Mit dem zu Testzwecken veröffentlichten zweiten Beta-Release Magento 2.4.7-beta2 erhält die Plattform neben Verbesserungen für Performance, GraphQL und Payment diesmal mehr als 200 Fehlerkorrekturen. Magento 2.4.7-beta2 enthält eine Reihe aktueller Versionen wichtiger Komponenten, beziehungsweise ist mit ihnen kompatibel.
Komponenten von Drittanbietern
- Apache 2.4
- Composer 2.5
- Elasticsearch 8.7
- MariaDB 10.6
- MySQL 8.0
- OpenSearch 2.5
- PHP 8.2 und 8.1
- PHPUnit 9.x
- RabbitMQ 3.11
- Redis 7.0
- Varnish 7.3
Magento Komponenten
- Page Bilder v.1.7.4
- PWA Studio v.13.3.x
Außerdem wurden zahlreiche Komponenten und Abhängigkeiten aktualisiert. Die vollständige Liste findet sich in den Release Notes zu Magento 2.4.7-beta2. Weiterführende Hinweise zu in den Releases enthaltenen Backwards Incompatible Changes hat Adobe auf einer separaten Seite zusammengestellt.
Security-only Patches
Für Entwickler weist Adobe neben den oben beschriebenen Security-Verbesserungen auch auf ein bekanntes Problem mit der Anzeige eines Prüfsummen-Fehlers während der Installation mit Composer hin. In den Release Notes zu den Security-only Patches wird dazu unter „Known Issue“ jeweils der entsprechende Workaround erklärt.
Magento 2.4.6-p3
Adobe weist für die Version Magento 2.4.6-p3 – wie schon im Zusammenhang mit dem Release des vorigen Patches für Magento 2.4.6 (wir berichteten) – noch einmal auf zwei wichtige Details hin:
- Security-Hinweis
In Magento 2.4.6-p2 wird eine im Security-only Patch Magento 2.4.6-p1 enthaltene Änderung wieder rückgängig gemacht: Der Wert von fastcgi_pass in der Datei nginx.sample wurde wieder auf den vorherigen (vor 2.4.6-p1) Wert von fastcgi_backend geändert. Der Wert war in Magento 2.4.6-p1 versehentlich auf php-fpm:9000 geändert worden. - Hinweis zur Performance
Zudem enthält der aktuelle Patch einen Hotfix für einen in den vorherigen Versionen von Magento 2.4.6 beobachteten Leistungsabfall im Zusammenhang mit dem wiederholten Laden von Konfigurationsdateien, der bislang mithilfe des Patches ACSD-51892 behoben werden musste. Das im entsprechenden Eintrag in der Adobe Knowledge Base näher beschriebene Problem ist nach der Installation von Magento 2.4.6-p2 oder 2.4.6-p3 auch ohne zusätzlichen Patch gelöst.
Was müssen Betreiber von Magento 2 Onlineshops jetzt tun?
Betreiber von aktuellen Magento 2 Onlineshops müssen nun so bald wie möglich den jeweils passenden Security-only Patch Magento 2.4.6-p3, 2.4.5-p5 beziehungsweise 2.4.4-p6 installieren. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren. Die aktuellen Security-only Patches stehen wie üblich auf GitHub bereit.
Alternativ empfehlen wir den Wechsel auf die von der Community getragene, schnelle und sichere Distribution Mage-OS 1.0, die auf der Grundlage des gerade erschienenen Magento 2.4.6-p3 veröffentlicht worden ist.
Wer Adobe Commerce, die kommerzielle Variante von Magento 2, noch in einer Version 2.4.3 oder älter betreibt, muss den für die Installation passenden Patch im kostenpflichtigen Extended-Support beziehen, um die entdeckten Sicherheitslücken zu schließen. Zur Verfügung stehen 2.4.3-p3-ext5, 2.4.2-p2-ext5, 2.4.1-p1-ext5, 2.4.0-p1-ext5 und 2.3.7-p4-ext5. Alternativ lässt sich natürlich auch ein Upgrade auf die Version 2.4.4 oder aktueller durchführen.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.
Die nächsten Releases
Laut Magento Roadmap soll am 13. Februar 2024 die nächste Runde Security-only Patches veröffentlicht werden. Nach einem weiteren Beta-Release im ersten Quartal des kommenden Jahres soll am 9. April 2024 dann das Final-Release von Magento 2.4.7 kommen.
Brauchen Sie Unterstützung?
Können wir Sie bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?