Magento: Kritische Sicherheitslücken mit neuen Versionen geschlossen

Sowohl für die Open-Source- als auch die Commerce-Version von Magento sind neue Patches erschienen. Aufgrund der hohen Sicherheitsrisiken ist ein Update empfohlen.

corinna engel lichtbild

Corinna Engel

Content Marketing Manager

Wie aus den Release Notes vom 26.03.2019 bekannt wurde, hat Magento neue Updates für die Versionen Commerce und Open Source (vormals Community Edition) veröffentlicht. Da mit diesen Updates kritische Sicherheitsrisiken beseitigt werden, die sowohl XSS-Attacken (Cross-Site-Scripting) als auch Remote-Code-Execution (RCE) sowie weitere Attacken verhindern sollen, ist eine zeitnahe Aktualisierung des Magento-Shops dringend empfohlen. Konkrete Fälle über die Ausnutzung besagter Schwachstellen sind noch nicht bekannt.

Welche Versionen sind betroffen?

Die neuen Releases stehen für die Versionen 2.3.1, 2.2.8, 2.1.17 und 1.9.4.1 zur Verfügung. Die Aktualisierungen bis hin zu 2.3.1 für Magento Commerce enthalten zahlreiche Bugfixes sowie einige neue Funktionen, die im Detail den jeweiligen Release Notes zu entnehmen sind:

Auch wird darauf hingewiesen, dass Onlinehändler, die bisher kein Magento 2 Update installiert haben, sich direkt Magento Commerce oder Open Source 2.3.1 herunterladen sollten.

Der Patch PRODSECBUG-2198 schließt Schwachstelle für SQL-Injections

Wichtig ist dieses Vorgehen besonders, weil Versionen niedriger als Version 2.3.1 anfällig für SQL-Injections durch unbekannte Angreifer sind. So kann ein nicht authentifizierter Nutzer beliebigen Code über eine SQL-Injection ausführen und damit an sensible Daten gelangen.

Betroffen sind die Versionen Magento Open Source vor 1.9.4.1, Magento Commerce vor 1.14.4.1, Magento 2.1 vor 2.1.17, Magento 2.2 vor 2.2.8 sowie Magento 2.3 vor 2.3.1.

Für eine sofortige Hilfe hat Magento daher den Patch PRODSECBUG-2198 veröffentlicht, der exakt diese Lücke schließt und zeitnah installiert werden sollte, falls nicht sofort ein komplettes Update durchgeführt werden kann. Zu einer Aktualisierung des Onlineshops mit den aktuellen Updates, die diesen Patch ebenfalls beinhalten, wird zur vollständigen Fehlerbeseitigung dennoch geraten. Für einen Überblick sind im Folgenden die wichtigsten Informationen zusammengefasst.

Magento 2.3.1

Dieses Update beinhaltet neben 200 Bugfixes mehr als 500 Verbesserungen durch die Magento-Community und über 30 Verbesserungen bei der Sicherheit des Onlineshops. Essentielle Funktionen wie das Inventory Management (MSI) jetzt als Version 1.1.0 und GraphQL finden in der neuen Version ebenso Platz wie kleinere Anpassungen am Quellcode.Das Page Builder-Werkzeug erhält eine separate Dokumentation seiner Anpassungen und ist als Editor für visuelle Inhalte bisher nur in der Magento Commerce-Edition verfügbar.

Für Onlinehändler sind als weitere Highlights zu nennen:

  • Verbesserungen im Backend-Workflow
  • Upload von PDP-Bildern ohne Komprimierung und Größenanpassungen möglich
  • bessere Performance bei größerem Datentransfer
  • Möglichkeit, größere Kundenaccounts mit mehr als 3000 Adressen anzulegen (besonders interessant für B2B-Händler)
  • strukturelle Anpassungen
  • Unterstützung von Elasticsearch 6.0
  • kompatibel mit PHP 7.2.x.

Magento 2.2.8 sowie Magento 2.1.17

Magento 2.2.8 unterstützt Elasticsearch 6.0 und wartet ebenso mit einer Reihe von Aktualisierungen von Bundled Extensions auf. Es verfügt zudem über Verbesserungen im Backend-Workflow und vereinfacht den Upload von PDP-Bildern. Version 2.2.8 und 2.1.17 erhalten wie Version 2.3.1 mehr als 30 Verbesserungen der Sicherheit und eine Fülle an Bugfixes.

Magento Open Source 1.9.4.1

Dieses Update behebt verschiedene Fehler sowie über 20 Sicherheitslücken der Versionen 1.9.4.0 und niedriger und bietet Lösungen für kritische Probleme, unter anderem: Cross-Site-Scripting-Attacken, beliebige Code-Ausführungen oder die Offenlegung sensibler Daten. Onlinehändler mit Magento 1.x sollten das Update oder den SUPEE-11086-Patch für ältere Magento-Versionen daher dringend empfehlen, um die Sicherheit Ihres Onlineshops zu gewährleisten.

Installationsvorgang

Zur Installation gehen Sie entweder einfach über den Download-Bereich (Partner Portal oder My Account) zu Ihrer benötigten Version oder folgen dieser Anleitung, sollten Sie die Installation via Composer nutzen. Dies gilt für die Versionen 2.3.1, 2.2.8, 2.1.17 sowie für die Commerce- oder Open-Source-Variante.

 

 

Planen Sie, mit Ihrem Onlineshop auf Magento 2 umzusteigen oder sind auf der Suche nach langfristigem Support für Ihr Onlineshop-System, können Sie sich vertrauensvoll an unser Team wenden.

Jetzt unverbindlich anfragen

 

Quelle: Magento und Release Notes