Magento 2.4.7 und weitere Releases im April 2024

Magento 2.4.7 und weitere Releases im April 2024

Mit der neuen Version Magento 2.4.7 erhalten Shopbetreiber einen wichtigen Patch für Sicherheitslücken, Unterstützung für PHP 8.3, diverse qualitative Verbesserungen – insbesondere im Hinblick auf Schnittstellen und Integrationen – sowie eine Reihe funktionaler Neuerungen. Zudem gibt es diesmal wieder drei Security-only-Patches: Magento 2.4.6-p5, 2.4.5-p7 und 2.4.4-p8. Wir fassen die wichtigsten Fakten zum neuen Release zusammen.

Was gibt es Neues in Magento 2.4.7?

Adobe listet für die neue Version Magento 2.4.7 mehrere Verbesserungen im Bereich Security sowie hunderte Qualitätsverbesserungen und Fehlerkorrekturen auf. PHP 8.3 und 8.2 werden voll unterstützt. PHP 8.1 dagegen wird in Magento 2.4.7 offiziell nicht mehr unterstützt und auch nicht empfohlen.

Security

Mit dem aktuellen, auch in Magento 2.4.7 enthaltenen Security-Patch werden laut Adobe Security Bulletin zwei Sicherheitslücken der Bedrohungsstufe „kritisch“ geschlossen. Ohne diesen Patch wäre der Zugriff auf Kundeninformationen möglich oder Sessions des Administrators könnten übernommen werden. Die mit dem aktuellen Security-Patch geschlossenen Sicherheitslücken können von Angreifern allerdings erst mit Zugang zum Magento Admin ausgenutzt werden. Adobe unterstreicht in diesem Zusammenhang noch einmal, dass Händler das Backend ihres Shops wirksam schützen sollten:

  • IP-Whitelisting: Den Admin-Zugriff auf einen bestimmten Kreis von IPs einschränken.
  • Zwei-Faktor-Authentifizierung (2FA): Zusätzlich zum Faktor „Wissen“ (Benutzername und Passwort) einen weiteren Faktor wie „Besitz“ (eines bestimmten Geräts) für den Login voraussetzen.
  • VPN: Ein virtuelles privates Netzwerk für den Zugriff zum Admin-Panel nutzen.
  • Individueller Admin-Pfad: Das Admin-Panel in einem anderen Verzeichnis als /admin erreichbar machen.
  • Starke Passwörter: Es sollten keine Passwörter verwendet werden, die sich über maschinelle Verfahren „erraten“ lassen.

Auch wenn laut Adobe die Sicherheitslücken bisher noch nicht ausgenutzt worden sein sollen, raten wir dringend zum Update auf Magento 2.4.7 beziehungsweise zur Installation des aktuellen Security-only-Patches. Zusätzlich zum Patch wurden in Magento 2.4.7 weitere Sicherheitsverbesserungen implementiert. So wurde das Verhalten von Cache-Keys angepasst, die Zahl von automatisch generierten Gutschein-Codes ist nun begrenzt, das Generieren der Default-Admin-URL wurde optimiert, die PCI-4.0-Compliance ist verbessert – und anderes mehr.

Kompatibilität und Ersetzungen

Mit dem Release von Magento 2.4.7 enthält die Plattform eine Reihe von aktuellen Versionen wichtiger Komponenten – beziehungsweise ist mit ihnen kompatibel.

  • PHP 8.3 (PHP 8.1 nicht mehr unterstützt)
  • Composer 2.7.x (Kompatibilität mit Composer 2.2.x bleibt erhalten)
  • Redis 7.2
  • OpenSearch 2.12 und 1.3
  • ElasticSearch 8.11
  • RabbitMQ 3.13
  • Varnish Cache 7.4 (Kompatibilität mit Varnish Cache 7.2.x und 6.0.x bleibt erhalten; empfohlen werden die Versionen 7.4 oder 6.0 LTS)
  • Die Library extjs wurde durch die jüngste Version von jsTree ersetzt.
  • Die Library jquery/fileUpload wurde entfernt

Außerdem wurden unter anderem JavaScript-Libraries, NPM Abhängigkeiten und Laminas Library-Abhängigkeiten aktualisiert. Die vollständige Liste findet sich in den Release Notes; weiterführende Hinweise zu Backwards Incompatible Changes (BIC) hat Adobe auf einer separaten Seite zusammengestellt.

Funktionale Neuerungen

  • GraphQL
    Auch für GraphQL enthält Magento 2.4.7 wichtige Verbesserungen, insbesondere im Caching, in der Unterstützung von benutzerdefinierten Attributen sowie für die Unterstützung der Headless-Stornierung von Bestellungen.

  • Lagerverwaltung
    Das neue Inventory Management (v.1.2.7) bringt Verbesserungen für die Verwaltung der Shop-Produkte im Admin mit. Für Weiterentwicklung dieses Features sorgt die Community.

  • Magento Open Source Extension Metapackage
    Magento 2.4.7 enthält das Magento Open Source Extension Metapackage in der Version 1.0.0. Darin sind ausgewählte Erweiterungen zusammengefasst: die Adobe IMS Integration, Braintree und Payment Services. In zukünftigen Versionen soll das Extension Metapackage zusätzliche Erweiterungen beinhalten.

  • PWA Studio
    In der aktualisierten Version PWA-Studio 14.0 gab es eine Reihe von Verbesserungen im Hinblick auf Barrierefreiheit. Alle Details dazu stehen in den Angaben zum Release auf GitHub. Welche Version des PWA-Studios mit welcher Magento Version kompatibel ist, wird auf einer gesonderten Adobe Developer Unterseite aufgeschlüsselt.

  • Web API Framework
    Im Web API Framework stehen nun zwei neue REST-Endpunkte zur Verfügung.

  • Braintree
    Auch für Braintree wurden wieder zahlreiche zusätzliche Funktionalitäten integriert.

Fehlerbehebung und Korrekturen

Für das Release der neuen Version von Magento wurden hunderte Fehler behoben. Mehr Details zu Korrekturen finden sich in den Release Notes zu Magento Open Source 2.4.7.

Die Security-only Patches Magento 2.4.6-p5, 2.4.5-p7 und 2.4.4-p8

Als Alternative zu einem sofortigen Update auf Magento 2.4.7 haben Betreiber von Magento 2.4 Onlineshops die Möglichkeit, vorerst lediglich den Security-only Patch Magento 2.4.6-p5, 2.4.5-p7 beziehungsweise Magento 2.4.4-p8 zu installieren. Damit wird das System ausschließlich mit sicherheitsrelevanten Änderungen versorgt. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren.

Updates und Patches für Magento jetzt installieren

Die neue Version 2.4.7 von Magento sowie die Security-only Patches Magento 2.4.6-p5, 2.4.5-p7 und Magento 2.4.4-p8 stehen wie üblich auf GitHub bereit. Um ihre Shops und die Kundendaten zuverlässig abzusichern, müssen Betreiber von Magento Onlineshops nun so schnell wie möglich das Update auf die neue Version – oder alternativ den passenden Security-only Patch installieren.

Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.

Das nächste Release

Laut Magento Roadmap sollen am 11. Juni, 13. August und 8. Oktober 2024 aktuelle Security-only Patches erscheinen. Für Magento 2.4.8 ist derweil die erste Beta-Version im Oktober angekündigt. Mit dem finalen Release darf im Frühjahr 2025 gerechnet werden.

Update oder Patch: Brauchen Sie Unterstützung?

Können wir Sie beim Update auf Magento 2.4.7 oder bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?

Jetzt Kontakt aufnehmen!

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.