Magento Commerce und Open Source 2.3.2, 2.2.9 und 2.1.18

MagentoSicherheit
Manuela Mörmel

Am 25. Juni 2019 hat Magento wichtige Sicherheitsupdates für Magento 2 veröffentlicht. Die Updates Magento 2.3.2, 2.2.9 und 2.1.18 beinhalten nicht nur die Sicherheits-Patches, sondern auch viele Fehlerkorrekturen und Verbesserungen. Für die Installation von Magento 2.3.2 wird libsodium 1.0.13+ vorausgesetzt. Im Beitrag haben die wichtigsten Informationen zusammengefasst.

Voraussetzungen für die Updates

Um das Update Magento 2.3.2 installieren zu können wird libsodium 1.0.13 oder höher benötigt. Auf unseren Clustern ist das kein Problem, da die Ubuntu 18.04- und Debian 8-Cluster standardmäßig über libsodium 1.0.17 verfügen.

Geschlossene Sicherheitslücken

Die Updates schließen insgesamt 75 Sicherheitslücken, davon werden 16 als kritisch eingestuft. Die Sicherheitslücken könnten unter anderem für Remote Code Execution (RCE), Cross-Site Scripting (XSS) oder Daten-Leak ausgenutzt werden. Die Sicherheitslücken betreffen die Versionen 2.1.0 bis 2.1.17, 2.2.0 bis 2.2.8 und 2.3.0 bis 2.3.1. Für Magento 2.0 gibt es keine weiteren Sicherheitsupdates, sodass wir hier dringend zu einem Update auf eine höhere Magento Version raten.

Weitere Informationen zu allen 75 Sicherheitslücken, finden Sie auf Magento Tech Resources.

Patch PRODSECBUG-2432

Die neuen Updates beinhalten außerdem den im Mai erschienenen Security Patch "PRODSECBUG-2432". Durch diese Sicherheitslücke ist es möglich, dass Angreifer die URL zum Backend auslesen können. Mittels Brute Force-Angriff könnte sich der Angreifer schließlich Zugriff auf das Backend des Shopsystems verschaffen. Der Patch ist in den Updates enthalten.

Magento 2.1.18

Das Update Magento 2.1.18 stellt das letzte verfügbare Sicherheitsupdate für Magento 2.1 dar. Mit diesem Update endet der Support für Magento 2.1.

Optimierungen

Mehr Performance

Die Antwortzeiten der Seiten und Suchfunktion wurden signifikant beschleunigt. Produktbilder laden nun schneller. Durch verzögertes Laden und Parsen des Storefront-Javascript wurde die Seitenwiedergabe verbessert und Nutzer können die Produktseiten schneller sehen. Dafür müssen die Einstellungen geändert werden. Unter Stores > Configuration > Developer > JavaScript Settings und aktivieren Sie dort die Option Move JS code to the bottom of the page.

Verbesserungen der Infrastruktur

Über 130 Verbesserungen und Fehlerkorrekturen wurden mit den Updates durchgeführt, die die Qualität des Magento Cores optimieren.

GraphQL

Für GraphQL wurden zahlreiche Verbesserungen eingeführt, wodurch die Einkaufswagen- und Kassenvorgänge verbessert wurden. GraphQL ist nun in der Lage die Kategorien, cmsBlocks, Produkte und URL-Resolver-Queries zu cachen. Alle Informationen zu den Optimierungen von GraphQL finden Sie hier.

Progressive Web Apps (PWA)

Die Komponentenbibliothek wurde optimiert. PWA Studio baut über die Peregrine-Bibliothek das Konzept für Funktions- und Datenkomponenten weiter aus. Komponenten können jetzt im Frontend wiederverwendet werden.

Verbesserung des Inventory Managements

Es gibt neue Kommandozeilen-Befehle, mit denen Händler auf Reservierungsinkonsistenzen prüfen können. Mehr zu den Inventory CLI Referenzen. Zudem wurden neue Test-Szenarios für Credit Memo Use Cases kreiert und neue Module für GraphQL eingeführt. Alle Optimierungen des Inventory Managements finden Sie hier.

Weitere Verbesserungen

Außerdem wurden weitere Verbesserungen in vielen Bereichen durchgeführt. Unter anderem in:

  • Installation, Upgrade und Deployment
  • Backend
  • Bundle
  • Cache
  • Cart und Ceckout
  • Katalog
  • Configurable products
  • New Relic APM Report
  • Sales und SalesRule
  • Suchfunktion
  • UI
  • Web API Framework
  • WYSIWYG

Eine ausführliche Auflistung aller Optimierungen finden Sie auf Magento 2.3.2 Release Notes.

Handlungsempfehlung

Diese Updates schließen zum einen eine große Anzahl an Sicherheitslücken, unter anderem sehr kritische Schwachstellen, die zu einer Remote Code Execution führen könnten. Zum anderen beinhalten sie eine große Anzahl an Optimierungen. Aus diesem Grunde empfehlen wir Ihnen das für Ihre Version passende Update nach einem erfolgreichen Testlauf auf Ihrer Testumgebung zu installieren.