Neue Magento Releases im November 2017
Für alle Magento 2.x Versionen sind neue Sicherheitsaktualisierungen erschienen. Die neuen Releases enthalten laut Magento fast 15 sicherheitsrelevante Verbesserungen des Systems, weshalb die jeweils neueste Version (Magento 2.2.1, 2.1.10 beziehungsweise 2.0.17) umgehend installiert werden sollte. Shops, in denen das Update nicht so schnell wie möglich durchgeführt wird, sind einem deutlich erhöhten Sicherheitsrisiko ausgesetzt.
Was genau enthalten die aktuellen Updates?
Magento schreibt von “fast 15” sicherheitstechnisch relevanten Verbesserungen in den jüngsten Releases. Darin enthalten sind – einmal mehr – geschlossene Schwachstellen für Angriffe mithilfe von Cross-Site Request Forgery (CSFR), unautorisierte Datenlecks und Einfallstore für das Ausführen von Fremdcode durch authentifizierte Admin-User im System.
Die weiteren Verbesserungen betreffen vor allem durch JavaScript bedingte Übersetzungslücken und zahlreiche kleinere Bugfixes. Für die Nutzer von Magento 2.2.x gibt es zudem noch eine nennenswerte Neuerung: Signifyd, der Service für die Erkennung von Betrugsversuchen, steht ihnen in Magento Open Source (vormals Community Edition) 2.2.1 nun zur Verfügung.
Wer das alles ganz genau wissen möchte, erfährt alle wichtigen Detail in den jeweiligen Release Notes zu den neuen Versionen von Magento Open Source (vormals Community Edition):
- Magento Open Source 2.2.1 Release Notes
- Magento Open Source 2.1.10 Release Notes
- Magento Open Source 2.0.17 Release Notes
Weitere Informationen über die sicherheitsrelevanten Verbesserungen in den neuen Releases finden sich im Magento Security Center in den Tech Resources.
Die jeweils neueste Version jetzt installieren!
Für Shopbetreiber von Magento 2.x Shops gilt es jetzt, das Update auf die jeweilige aktuelle Version zu installieren, um die entdeckten Sicherheitslücken zuverlässig zu schließen.
Alle wichtigen Informationen rund um die Installation und das Updaten von Magento finden sich in den Tech Resources.
[UPDATE 28.11.2017] Jetzt auch neuer Security-Patch für Magento 1.x erschienen
Bis die für die Nutzer von Magento Open Source (vormals Community Edition) 1.5.0.0-1.9.3.6 ist nun ein entsprechender Patch erschienen, in dem sicherheitsrelevante Fixes enthalten sind: SUPEE-10415. Shopbetreiber sollten den Patch umgehend installieren oder das Upgrade auf die Version Magento Open Source 1.9.3.7 durchführen lassen.
Heruntergeladen werden kann der Patch im Bereich Release Archive in den Magento Tech Resources unter „Magento Open Source Patches – 1.x“ und Magento Open Source 1.9.3.7 ist dort unter „ver 1.9.x“ zu finden.
Weiterführende Informationen über SUPEE-10415 hat Magento hier zusammengefasst.