Update Magento 2.3.1 und Patch für kritische Sicherheitslücke

SicherheitMagento
Manuela Mörmel

Magento veröffentlichte in der Nacht zum 27. März 2019 das Update Magento 2.3.1 gemeinsam mit dem Sicherheitspatch "PRODSECBUG-2198" gegen eine sehr kritische SQL-Injection-Sicherheitslücke. Die wichtigsten News dazu haben wir im Beitrag zusammengefasst.

Sicherheitsupdate

Magento 2.3.1 bietet nicht nur viele Fehlerkorrekturen und neue Features, sondern beinhaltet einen Sicherheitspatch, der teilweise sehr kritische Sicherheitslücken schließt. Darunter unter anderem die schwerwiegende SQL-Injection-Sicherheitslücke "PRODSECBUG-2198", vor welcher Magento aktuell warnt. Allein für diese schwerwiegende Sicherheitslücke hat Magento einen Patch unter gleichen Namen veröffentlicht.

  • PRODSECBUG-2198: SQL-Injection durch nicht-authentifizierte Nutzer - sehr kritisch (9)
    Ein nicht-authentifizierter Nutzer kann durch eine SQL-Schwachstelle beliebigen Code ausführen und damit Datenverlust hervorrufen.

    Dieser Sicherheitspatch ist in den neuen Versionen Magento 2.3.1, 2.2.8 und 2.1.17 sowie in Magento 1.9.4.1 enthalten. Sollten Sie die neue Version nicht installieren können, schließen wir uns der Empfehlung von Magento an, den Patch "PRODSECBUG-2198" zu installieren (bzw. SUPEE-11086 für Magento 1). Den Download-Link finden Sie in den Magento Tech Ressources.

Außerdem wurden die folgenden kritischen Sicherheitslücken mit dem neuen Update behoben:

  • PRODSECBUG-2192 und 2287: Remote-Code-Execution (RCE) durch E-Mail Templates - sehr kritisch (9,8)
    Ein Administrator mit Rechten zum Anlegen von Newslettern oder E-Mail Templates kann beliebigen Code mittels E-Mail Templates ausführen

  • PRODSECBUG-2236: SQL-Injection und Cross-Site-Scripting (XSS) im Bereich Katalog - sehr kritisch (9)
    Ein Administrator kann im Katalogbereich böswilligen Code durch eine gespeicherte Cross-Site-Scripting- oder SQL-Injection-Schwachstelle ausführen, indem er Attribute manipuliert.

  • PRODSECBUG-2256 und 2261: Arbitrary-Code-Execution (ACE) durch unsichere Deserialisierung eines PHP-Archivs - kritisch (8,5)
    Ein Administrator kann beliebigen Code durch eine Schwachstelle in der Phar-Deserialisierung ausführen.

  • PRODSECBUG-2263: Arbitrary-Code-Execution (ACE) (Magento Shipping) - kritisch (8,5)
    Ein Administrator mit der Berechtigung zum Konfigurieren von Speichereinstellungen kann durch die serverseitige Anforderungsfälschung beliebigen Code ausführen.

  • PRODSECBUG-2165: Sensitive Daten bei NGINX können offengelegt werden - kritisch (8,5)
    Ein Administrator kann PHP-Dateien hochladen, um auf vertrauliche Daten zugreifen zu können. Denn die NGINX-Konfiguration lässt die Ausführung von PHP-Dateien in einem beliebigen Verzeichnis zu, da sie nicht auf explizite Verzeichnisse beschränkt sind.
    Sofern Sie die von uns bereitgestellten NGINX-Templates verwenden, werden wir die NGINX-Konfiguration zeitnah aktualisieren. Andernfalls lässt sich Ihre aktuell verwendete NGINX-Konfiguration mit der Beispieldatei von Magento vergleichen und anpassen. Diese finden Sie bei GitHub.

Erfahren Sie mehr über die weniger kritischen Sicherheitslücken, die mit den Magento Updates geschlossen werden, auf Magento Tech Resources. Dort finden Sie auch den entsprechenden Downloadlink für Ihre Anwendung.

Neue Features und Optimierungen in Magento 2.3.1

Die Veröffentlichung von Magento 2.3 brachte bereits viele Verbesserungen und neue Features mit und galt als Meilenstein. Das erste Update dieser Version wurde heute veröffentlicht: Magento 2.3.1. Neue Tools aus 2.3 sind nun fest integriert, wie etwa der Magento Page Builder.

Page Builder fest integriert (nur Commerce Edition)

Der Page Builder ist ein intuitives Content-Bearbeitungstool mit Drag-and-Drop-Funktion. Damit lassen sich die Inhaltsseiten der Onlineshops anpassen, ohne CSS oder HTML. Mit Magento 2.3.0 wurde der neue Page Builder bereits als Beta-Version für die Nutzer der Commerce Edition veröffentlicht. Mit 2.3.1 ist er nun fest integriert. Erfahren Sie mehr darüber in den Page Builder Release Notes.

Progressive Web Apps (PWA) Studio optimiert

Das Magento PWA Studio besteht aus einer Reihe an Entwicklertools, mit welchen sich ein PWA Storefront auf Magento 2-Basis entwickeln, implementieren und verwalten lässt. Mit dem Update wurden neue Venia Themes für B2B und B2C veröffentlicht. Erfahren Sie mehr über PWA Studio in der Magento PWA Documentation.

Elasticsearch 6.0 Support

Mit dem Update Magento 2.3.1 wird die Search-Engine Elacticsearch in Version 6 nun auch nativ ab Version Magento 2.3.1 unterstützt.

GraphQL verbessert

GraphQL ist eine flexible API und gilt als Alternative zu REST und SOAP Web APIs. Damit lassen sich individuelle Frontends entwickeln und erstellen, wie etwa Headless Storefronts, PWA und mobile Apps. Aus der Magento Community wurden viele Ergänzungen und Optimierungen für GraphQL beigesteuert, sodass sich die API mit 2.3.1 wesentlich verbessert hat. Es wurden beispielsweise wichtige Ergänzungen im den Bereichen Einkaufswagen erstellen und ausfüllen, Versandadresse festlegen und Kundenkonto erstellen beigesteuert. Mehr Informationen hierzu finden Sie in den GraphQL Release Notes.

Optimierte Performance - Kundenadressen

Mit UI-Components wurde die Verwaltung und Bearbeitung von Kundenadressen umgeschrieben. Dadurch verbessert sich die Leistung der Plattform. Ohne Performance Einbußen können jetzt 3000 und mehr Kundenadressen verwaltet werden. Die Liste an zusätzlichen Kundenadressen, wenn mehr als eine Kundenadresse erstellt wurde, wird jetzt als Grid im Strorefront Kundenadressbuch angezeigt. Dadurch ergibt sich für die Kunden mit mehreren Adressen eine verbesserte Performance.

Neues Composer-Plugin für automatisiertes Upgrade

Das Plugin magento/composer-root-update-plugin aktualisiert während eines Magento 2-Updates automatisch alle Abhängigkeiten in composer.json. Bisher war dies nur manuell durch einen Entwickler möglich.

Integrationen für Third-Party-Bezahlmethoden optimiert

Amazon Pay, dotdigital (zuvor als dotmailer bekannt), Vertex und Klarna Support wurden optimiert.

Zudem wurden mit dem Magento 2.3.1 Fixes und Optimierungen am Framework, an der Navigation, im Bereich Gutschein, an der Infrastruktur, im Bereich Newsletter und vieles mehr durchgeführt. Alle Optimierungen und Fehlerkorrekturen, die mit Magento 2.3.1 durchgeführt wurden, finden Sie in den Release Notes für Magento Commerce 2.3.1 und Magento Open Source 2.3.1.

maxcluster Handlungsempfehlung

Wir empfehlen Ihnen, das neue Update Magento 2.3.1 in Ihrer Testumgebung ausgiebig zu testen. Nach dem erfolgreichen Testlauf sollte das Update zeitnah installiert werden, da es einen wichtigen Sicherheitspatch enthält.

Falls es Ihnen nicht möglich ist, das vollständige Update zu installieren, empfehlen wir Ihnen dringend den Sicherheitspatch einzuspielen.

Unser Support Team unterstützt Sie gern.

Bild: mactrunk, iStockphoto.com, 2019