Neue Security-Patches: Magento 2.4.5-p1 und 2.4.4-p2
Mit den am 11. Oktober 2022 veröffentlichten Security-only Patches Magento 2.4.5-p1 und 2.4.4-p2 werden jeweils fünf sicherheitsrelevante Verbesserungen eingeführt und dabei unter anderem zwei Sicherheitslücken geschlossen, die seit dem letzten Release entdeckt worden sind. Wir fassen die wichtigsten Informationen für Händler mit Magento Onlineshops zusammen.
Was genau enthalten die neuen Patch-Releases?
Magento 2.4.4-p2 enthält die gleichen sicherheitsrelevanten Verbesserungen, die auch in den Release Notes für Magento 2.4.5-p1 erwähnt werden. Allerdings weist Magento in den Release Notes zu Magento 2.4.4-p2 noch auf einen wichtigen Punkt zur DHL-Integration hin.
Zwei Sicherheitslücken geschlossen
Dem aktuellen Magento Security Bulletin APSB22-48 zufolge sind die entdeckten Sicherheitslücken, die durch die neu veröffentlichten Security-only Patches Magento 2.4.5-p1 und 2.4.4-p2 verschlossen werden, von Kriminellen bislang zwar vermutlich nicht ausgenutzt worden (Priority 3), eine davon wird jedoch als „Critical“ eingestuft und ermöglicht das unbemerkte Einschleusen und Ausführen von Schadcode. Es ist daher sehr wichtig, dass Shops auf der Grundlage von Magento 2.4.5 und 2.4.4 umgehend mithilfe des jeweiligen Patches gegen potenzielle Angreifer abgesichert werden.
Verbesserte Security für Backend-Benutzer
Beide Patches enthalten eine neue Option, die im Magento Backend für mehr Sicherheit sorgt: Require email confirmation if email has been changed. Damit lässt sich definieren, dass Administratoren per Bestätigungs-E-Mail einbezogen werden, wenn ein Admin-User ihre E-Mail-Adresse geändert hat.
Patch für DHL-Integration in Magento 2.4.4
Im Zusammenhang mit dem Patch Magento 2.4.4-p2 erinnert Adobe noch einmal an eine wichtige Neuerung für die DHL-Integration in Magento 2.4.4: Da DHL auf das XML-Schema 6.2 umgestellt hat und das in Magento bis zur Version 2.4.4 verwendete XML-Schema 6.0 inzwischen nicht mehr unterstützt, müssen alle Shops mit DHL-Integration mithilfe des Quality-Patches AC-3022, der im Quality Patches Tool für Magento in der Version 1.1.16 verfügbar ist, versehen werden. (Details dazu finden sich im Commerce Help Center von Adobe.) Für Shops auf der Grundlage von Magento 2.4.5 ist das nicht nötig, weil diese Version bereits das XML-Schema 6.2 unterstützt.
Die Zeit läuft: Nur noch sechs Wochen Support für Magento 2.4.0 bis 2.4.3
Nach dem End-of-Support für Magento 2.3 im September folgt am 28. November 2022 – und damit gleichzeitig mit dem End-of-Life für PHP 7.4 – das Ende des Supports für Magento 2.4.0 bis 2.4.3. Wer noch nicht auf Magento 2.4.4 oder 2.4.5 mit aktuellem PHP 8.1 gewechselt hat, muss das nun also so schnell wie möglich nachholen – und zwar direkt mit Magento 2.4.5-p1 oder 2.4.4-p2.
Patches für Magento jetzt installieren
Die neuen Security-only Patches Magento 2.4.5-p1 und 2.4.4-p2 stehen auf GitHub bereit oder können über die Befehlszeile als Composer Metapackage installiert werden. Um ihre Shops und die Kundendaten zuverlässig abzusichern, müssen Betreiber von Magento Onlineshops diese Patches nun so schnell wie möglich installieren.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release haben wir bereits im Juli 2020 in einem Blog-Beitrag zu Magento 2.4 zusammengefasst.
Wann kommt das nächste Release?
Laut Magento Roadmap kommt das nächste Planmäßige Release für Magento am 14. März 2023. Neben der neuen Version Magento 2.4.6 soll es dann auch die Security-Patches 2.4.5-p2 und 2.4.4-p3 geben.
Brauchen Sie Unterstützung?
Können wir Sie bei der Installation des aktuellen Security-only Patches Magento 2.4.5-p1 beziehungsweise 2.4.4-p2 für Ihren Shop unterstützen? Oder muss ihr Shop noch von einer älteren Version von Magento 2.4 auf Magento 2.4.5 und PHP 8.1 gehoben werden? Sprechen Sie uns einfach an!