Neue Magento Releases im Mai/Juni 2017
Pünktlich zum Monatswechsel hat Magento endlich den bereits vor Monaten in Aussicht gestellten Patch veröffentlicht: SUPEE-9767 kann ab sofort installiert werden. Und da hiermit kritische Sicherheitslücken geschlossen werden, sollte das auch umgehend geschehen. Alternativ kann auch auf die jeweils neueste Version (Magento CE 1.9.3.3, 2.0.14 beziehungsweise 2.1.7), die den Patch bereits beinhaltet, aktualisiert werden. Wir fassen die wichtigsten Fakten zu diesem Release zusammen.
Was gibt es Neues in Magento 2.x?
Neben einer kleinen Ergänzung für das Bezahlen mit neuen MasterCard BINs enthält das aktuelle Release vor allem sicherheitsrelevante Verbesserungen. Gleich mehrere Schwachstellen werden geschlossen: in den vergangenen Monaten entdeckte Möglichkeiten für das Ausführen von Code, Cross-Site Request Forgeries (über die im Hinblick auf CSRFs kritische Sicherheitslücke haben wir vor zwei Wochen berichtet) und das Umgehen der Zugriffskontrolle werden mit dem Patch SUPEE-9767 ausgeräumt.
Magento 2.1.7 macht eine Änderung aus 2.1.6 rückgängig
Nutzern von Magento 2.1 stand nach dem Update auf Magento 2.1.6 eine überarbeitete Funktion für das Skalieren von Bildern zur Verfügung. Da es damit in der Praxis jedoch unvorhergesehene Probleme gab, wurde diese Änderung in der Version 2.1.7 wieder rückgängig gemacht. Die noch einmal überarbeiteten Verbesserungen für das Skalieren von Bildern sind nun für künftige Releases in Aussicht gestellt worden.
Was gibt es Neues in Magento 1.9.3.3?
Für die Nutzer von Magento Community Edition 1.9 bringt der Patch SUPEE-9767 (beziehungsweise die Version 1.9.3.3) ebenfalls wichtige Sicherheitsaktualisierungen für kritische Schwachstellen mit: Sicherheitslücken, die das Ausführen von Code, Cross-Site Request Forgeries (CSRF) und das Umgehen der Zugriffskontrolle ermöglichen, werden damit wie in den Versionen 2.x geschlossen.
Zudem enthält Magento 1.9.3.3 die Lösung für das vor wenigen Wochen mit SUPEE-8167 behandelte Problem mit einer Änderung der URL des Instant Payment Notification (IPN) Servers von PayPal, das nach dem 30. Juni 2017 zu Unregelmäßigkeiten in der Verarbeitung von PayPal-Zahlungen führen könnte.
Vor der Installation des Patches muss die Symlinks-Option im Magento Backend (unter System > Configuration > Advanced > Developer > Enable Symlinks) deaktiviert werden, da Magento sonst wichtige Konfigurationseinstellungen überschreibt, die anschließend wieder von Hand in der Datenbank geändert werden müssen.
Die neuen Releases jetzt installieren
Der Patch SUPEE-9767 – oder alternativ die neuen Versionen von Magento Community Edition – müssen grundsätzlich so schnell wie möglich installiert werden. Sie können wie gewohnt aus den Magento Tech Resources heruntergeladen werden.
Detaillierte Informationen über die einzelnen Versionen und Änderungen können den jeweiligen Release Notes entnommen werden:
- Magento Community Edition 2.1.7
- Magento Community Edition 2.0.14
- Magento Community Edition 1.9.3.3
Mögliche Probleme
Dass Magento Updates bisweilen nicht ganz einfach zu handhaben sind, ist kein Geheimnis. Auch in diesem Fall sind – nicht zuletzt angesichts der zahlreichen Eingriffe in sicherheitsrelevante Bereiche – in vielen Shops Komplikationen zu erwarten. Entsprechende Erfahrungsberichte werden zum Beispiel hier schon heiß diskutiert.