Security-only Patches für Magento 2.4 im Juni 2024

Security-only Patches für Magento 2.4 im Juni 2024

Mit den vier Security-only-Patches Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 und 2.4.4-p9 sind wichtige Aktualisierungen für Magento und Adobe Commerce erschienen. Wir fassen die wichtigsten Fakten zu den neu veröffentlichten Patches zusammen.

Wichtige Security-Verbesserungen

Die vier aktuellen Security-only Patches enthalten jeweils zehn Korrekturen. Damit werden Schwachstellen der Bedrohungsstufen „Wichtig“ und „Kritisch“ geschlossen. Die Details zu den einzelnen Schwachstellen finden sich im zugehörigen Adobe Security Bulletin.

Was müssen Betreiber von Magento 2 Onlineshops jetzt tun?

Betreiber von aktuellen Magento 2 Onlineshops müssen nun so bald wie möglich den jeweils passenden Security-only Patch Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 beziehungsweise 2.4.4-p9 installieren. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren. Die aktuellen Security-only Patches stehen wie üblich auf GitHub bereit.

Alternativ empfehlen wir den Betreibern von Magento 2 Onlineshops Wechsel auf die von der Community getragene, schnelle und sichere Distribution Mage-OS.

Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.

Patches für ältere Versionen von Adobe Commerce im Extended Support

Wer Adobe Commerce, die kommerzielle Variante von Magento 2, noch in einer Version 2.4.3 oder älter betreibt, muss den für die Installation passenden Patch im kostenpflichtigen Extended-Support beziehen, um die entdeckten Sicherheitslücken zu schließen. Zur Verfügung stehen 2.4.3-p3-ext7, 2.4.2-p2-ext7, 2.4.1-p1-ext7, 2.4.0-p1-ext7 und 2.3.7-p4-ext7. Alternativ lässt sich natürlich auch ein Upgrade auf die Version 2.4.4 oder aktueller durchführen.

[Update 20. Juni 2024] Änderungen in CSP können Checkout lahmlegen

In den Tagen nach dem Release der neuen Security-only Patches entspann sich eine lebhafte Diskussion um das Thema CSP. Adobe hatte es zunächst versäumt, in den Release Notes darauf hinzuweisen, dass die Content Security Policy (CSP) auf restrict geändert worden ist, was in einigen Konfigurationen dazu führen kann, dass der Checkout nach dem Einspielen des Patches nicht mehr funktioniert. Inzwischen ist dieser nicht ganz unwichtige Punkt in der offiziellen Dokumentation von Adobe entsprechend beschrieben – mit Verlinkung zum passenden Troubleshooting.

Die nächsten Releases

Laut Magento Roadmap soll am 13. August 2024 die nächste Runde Security-Updates veröffentlicht werden. Am 8. Oktober soll es dann noch einmal eine geben – und zugleich das erste Beta-Release von Magento 2.4.8.

Brauchen Sie Unterstützung?

Können wir Sie bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?

Jetzt Kontakt aufnehmen!

Zum Thema:
Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.

      Carsten Stech

      Carsten Stech

      0431 3947 9900

      DSGVO konform

      Wir erfüllen die EU-Datenschutz-Grundverordnung (DSGVO) und garantieren Serverstandorte in Deutschland mit ISO 27001 Zertifizierung.