Update Magento 2.2.8 & 2.1.17 und Security Patch

MagentoSicherheit
Manuela Mörmel

Magento veröffentlichte am 26. März 2019 die beiden Updates Magento 2.2.8 und Magento 2.1.17. Die beiden neuen Versionen enthalten einen sehr wichtigen Sicherheitspatch gegen die SQL-Injection-Schwachstelle "PRODSECBUG-2198". Erfahren Sie mehr im Beitrag.

Sicherheitsupdate "PRODSECBUG-2198"

Mit der Sicherheitslücke PRODSECBUG-2198 können nicht-authentifizierte Nutzer durch eine SQL-Schwachstelle beliebigen Schadcode ausführen und damit Datenverlust hervorrufen. Diese Schwachstelle betrifft sowohl Magento 2 als auch Magento 1. Deshalb hat Magento einen Magento 2 Patch und für Magento 1 SUPEE-11086 veröffentlicht, die auch in den neuen Updates Magento 2.3.1, 2.2.8, 2.1.17 und Magento 1.9.4.1 (bzw. Commerce 1.14.4.1) enthalten sind.

Mit dem Release Magento 2.2.8 und Magento 2.1.17 wurden zudem weitere sehr kritische Sicherheitslücken geschlossen, unter anderem:

  • PRODSECBUG-2192 und 2287: Remote-Code-Execution (RCE) durch E-Mail Templates - sehr kritisch (9,8)
    Durch E-Mail Templates kann ein Administrator mit der Berechtigung zum Anlegen von E-Mail-Templates und Newslettern Schadcode ausführen.

  • PRODSECBUG-2236: SQL-Injection und Cross-Site-Scripting (XSS) im Bereich Katalog - sehr kritisch (9)
    Im Katalogbereich kann ein Administrator durch die Manipulation von Produktattributen böswilligen Code durch eine gespeicherte Cross-Site-Scripting- oder SQL-Injection-Schwachstelle ausführen.

  • PRODSECBUG-2263: Arbitrary-Code-Execution (ACE) (Magento Shipping) - kritisch (8,5)
    Sollte ein Administrator mit Rechten zum Konfigurieren von Speichereinstellungen die serverseitige Anforderung manipulieren, kann er beliebigen Code ausführen.

  • PRODSECBUG-2256 und 2261: Arbitrary-Code-Execution (ACE) durch unsichere Deserialisierung eines PHP-Archivs - kritisch (8,5)
    Durch eine Sicherheitslücke in der Phar-Deserialisierung ist es möglich, dass ein Administrator beliebigen Code ausführen kann.

  • PRODSECBUG-2165: Sensitive Daten bei NGINX können offengelegt werden - kritisch (8,5)
    Ein Administrator kann PHP-Dateien hochladen, um auf vertrauliche Daten zugreifen zu können. Denn die NGINX-Konfiguration lässt die Ausführung von PHP-Dateien in einem beliebigen Verzeichnis zu, da sie nicht auf explizite Verzeichnisse beschränkt sind.
    Wir aktualisieren für unsere Kunden, welche die von uns zur Verfügung gestellten NGINX-Templates verwenden, die NGINX-Konfiguration. Falls Sie nicht unsere Templates verwenden, empfehlen wir Ihnen Ihre NGINX-Konfiguration mit der Beispieldatei von Magento zu vergleichen und entsprechend anzupassen. Diese finden Sie bei GitHub.

Verbesserungen und Neuerungen in Magento 2.2.8

Verbesserter Workflow für die Auftragserstellung im Admin: Der Bereich Auftragserstellung wurde überarbeitet, um Verzögerungen bei der Bearbeitung von Rechnungs- und Versandadressen zu vermeiden.

Elasticsearch 6 Support

Magento 2.2.8 unterstützt die aktuelle Elasticsearch Version 6.

Weitere Korrekturen

Zudem wurden zahlreiche weitere Korrekturen durchgeführt, wie unter anderem Verbesserungen am Framework, im Backend, an den "bundle products", im Bereich "Customer" oder im Bereich Import / Export.

Doch vor allem in den Bereichen Katalog sowie Einkaufwagen und Checkout wurden viele Optimierungen durchgeführt.

Eine vollständige Liste aller Verbesserungen in Magento 2.2.8 finden Sie in den Magento Release Notes 2.2.8.

Magento 2.1.17

Das Update Magento 2.1.17 ist ein reines Sicherheitsupdate und behebt aktuelle Sicherheitslücken, unter anderem die Sicherheitslücke aus dem Magento 2 Patch. Weitere Informationen zu Magento 2.1.17 finden Sie in den Release Notes.

maxcluster Handlungsempfehlung

Sollte Magento 2.2.7 oder älter verwenden, empfehlen wir Ihnen das Update auf Magento 2.2.8 nach erfolgreichem Testlauf zu installieren. Neben den Sicherheitslücken, die dadurch geschlossen werden, gibt es auch weitere Optimierungen. Für Magento 2.1.16 oder älter empfehlen wir das Update auf Magento 2.1.17. Sollte dies nicht möglich sein, empfehlen wir Ihnen dringend zumindest den Patch PRODSECBUG-2198 zu installieren.

Sollten Sie Fragen haben oder sich Support wünschen, unterstützen wir Sie gern. Kontaktieren Sie hierfür gern unser Supportteam.