Neue Security-Patches: Magento 2.4.3-p1 und 2.3.7-p2
Am 12. Oktober 2021 ist mit Magento 2.4.3-p1 ein neuer Security-only Patch für Magento 2.4 erschienen. Darin enthalten sind neben als „wichtig“ eingestuften Security-Verbesserungen auch eine Reihe weiterer Fixes. Mit Magento 2.3.7-p2 ist zeitgleich ein entsprechender Patch für Magento 2.3 erschienen. Wir fassen die wichtigsten Fakten zu den neuen Releases zusammen.
Was gibt es Neues in Magento 2.4.3-p1?
Mit dem Security-only Patch Magento 2.4.3-p1 werden laut Magento insgesamt sieben seit dem Release von Magento 2.4.3 im August 2021 entdeckte Sicherheitslücken geschlossen, von denen lediglich eine durch einen externen Hinweis bekannt geworden ist. Da die durch den Patch geschlossenen Sicherheitslücken als „wichtig“ eingestuft werden, sollten ihn alle Händler, die bereits Magento 2.4.3 einsetzen, umgehend installieren.
Da mit dem Patch Session-IDs nicht mehr in der Datenbank gespeichert werden, kann es zu Konflikten mit installierten Extensions oder Anpassungen am Shop kommen, falls darin von dieser bislang bestehenden Möglichkeit Gebrauch gemacht wird. Weitere sicherheitsrelevante Änderungen betreffen die Admin-Berechtigungen in Media-Verzeichnissen, die maximal erlaubte Komplexität von GraphQL-Anfragen und durch Pentests aufgefallene Schwachstellen. Zudem sind in das Release eine Reihe von Hot-Fixes und Bugfixes für die „Vendor-developed Extensions“ Braintree, Klarna, und Vertex eingegangen.
Alle Details zu diesem Release finden sich in den Magento 2.4.3-p1 Release Notes.
Was gibt es Neues in Magento 2.3.7-p2?
Die in Magento 2.4.3-p1 enthaltenen Security-Verbesserungen und Fixes, die auch für Magento 2.3-Shops relevant sind, wurden in Form des Security-only Patches Magento 2.3.7-p2 veröffentlicht. Voraussetzung für die Installation dieses ebenfalls als „wichtig“ eingestuften Patches ist Magento 2.3.7.
Alle Details zu diesem Release finden sich in den Magento 2.3.7-p2 Release Notes.
Die Zeit läuft: Nur noch sechs Monate Support für Magento 2.3
Den Betreiber von Magento 2.3 Onlineshops stehen in den kommenden sechs Monaten gleich zwei sehr wichtige Deadlines ins Haus:
Bereits im Dezember 2021 endet der Support für PHP 7.3, so dass der Wechsel auf PHP 7.4.x nötig wird. Dabei ist es ratsam, den Wechsel auf Magento 2.4 gleich mit in die Planung aufzunehmen, denn:
Am 28. April 2022 erreicht dann auch Magento 2.3 sein End-of-Life und wird nicht länger durch Updates unterstützt.
Es ist jetzt also wirklich höchste Zeit, das Update auf Magento Open Source 2.4 beziehungsweise den Wechsel auf Adobe Commerce 2.4.x anzugehen. Nur auf diese Weise können auch in Zukunft noch Sicherheitslücken geschlosse und die Konformität des Shops mit den PCI-Standards gewährleistet werden.
Updates und Patches für Magento jetzt installieren
Die neuen Security-only Patches Magento 2.4.3-p1 und Magento 2.3.7-p2 stehen wie üblich in den Tech Resources zum Download bereit. Um ihre Shops und die Kundendaten zuverlässig abzusichern, müssen Betreiber von Magento Onlineshops nun so schnell wie möglich das Update auf die neue Version – oder alternativ den passenden Security-only Patch installieren.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst und Magento 2.4.3 haben wir im August 2021 einen Beitrag gewidmet.
Die nächsten Releases
Der sehr verlässlichen Magento Roadmap zufolge werden am 8. März 2022 neben Magento 2.4.4 auch die Security-only Patches Magento 2.4.3-p2 und Magento 2.3.7-p3 – die letzte Aktualisierung vor dem End-of-Life für Magento 2.3 – veröffentlicht.