Security-only Patches für Magento 2.4 im Juni 2024
Mit den vier Security-only-Patches Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 und 2.4.4-p9 sind wichtige Aktualisierungen für Magento und Adobe Commerce erschienen. Wir fassen die wichtigsten Fakten zu den neu veröffentlichten Patches zusammen.
Wichtige Security-Verbesserungen
Die vier aktuellen Security-only Patches enthalten jeweils zehn Korrekturen. Damit werden Schwachstellen der Bedrohungsstufen „Wichtig“ und „Kritisch“ geschlossen. Die Details zu den einzelnen Schwachstellen finden sich im zugehörigen Adobe Security Bulletin.
Was müssen Betreiber von Magento 2 Onlineshops jetzt tun?
Betreiber von aktuellen Magento 2 Onlineshops müssen nun so bald wie möglich den jeweils passenden Security-only Patch Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 beziehungsweise 2.4.4-p9 installieren. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren. Die aktuellen Security-only Patches stehen wie üblich auf GitHub bereit.
Alternativ empfehlen wir den Betreibern von Magento 2 Onlineshops Wechsel auf die von der Community getragene, schnelle und sichere Distribution Mage-OS.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.
Patches für ältere Versionen von Adobe Commerce im Extended Support
Wer Adobe Commerce, die kommerzielle Variante von Magento 2, noch in einer Version 2.4.3 oder älter betreibt, muss den für die Installation passenden Patch im kostenpflichtigen Extended-Support beziehen, um die entdeckten Sicherheitslücken zu schließen. Zur Verfügung stehen 2.4.3-p3-ext7, 2.4.2-p2-ext7, 2.4.1-p1-ext7, 2.4.0-p1-ext7 und 2.3.7-p4-ext7. Alternativ lässt sich natürlich auch ein Upgrade auf die Version 2.4.4 oder aktueller durchführen.
[Update 20. Juni 2024] Änderungen in CSP können Checkout lahmlegen
In den Tagen nach dem Release der neuen Security-only Patches entspann sich eine lebhafte Diskussion um das Thema CSP. Adobe hatte es zunächst versäumt, in den Release Notes darauf hinzuweisen, dass die Content Security Policy (CSP) auf restrict
geändert worden ist, was in einigen Konfigurationen dazu führen kann, dass der Checkout nach dem Einspielen des Patches nicht mehr funktioniert. Inzwischen ist dieser nicht ganz unwichtige Punkt in der offiziellen Dokumentation von Adobe entsprechend beschrieben – mit Verlinkung zum passenden Troubleshooting.
Die nächsten Releases
Laut Magento Roadmap soll am 13. August 2024 die nächste Runde Security-Updates veröffentlicht werden. Am 8. Oktober soll es dann noch einmal eine geben – und zugleich das erste Beta-Release von Magento 2.4.8.
Brauchen Sie Unterstützung?
Können wir Sie bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?