Magento Open Source 1.9.4.2 und Magento Commerce 1.14.4.2

MagentoSicherheit
Manuela Mörmel

Magento hat am 25. Juni 2019 die beiden Updates Magento 1.9.4.2 und 1.14.4.2 veröffentlicht. Sie beinhalten neben dem Security Patch SUPEE-11155 unter anderem Fehlerkorrekturen und Optimierungen. Wir haben die wichtigsten Informationen über Magento Open Source 1.9.4.2 und Magento Commerce 1.14.4.2 zusammengefasst.

SUPEE-11155

Mit dem Patch SUPEE-11155 oder den Updates 1.9.4.2 (Magento Open Source) und 1.14.4.2 (Magento Commerce) werden 44 Sicherheitslücken geschlossen, die teilweise als sehr kritisch eingestuft werden. Durch die Schwachstellen können beispielsweise Remote Code Execution (RCE), Cross-Site-Scripting (XSS) oder

Mit dem Patch können die Sicherheitslücken in folgenden Versionen geschlossen werden:

  • Magento Commerce 1.9.0.0-1.14.4.1
  • Magento Open Source 1.5.0.0-1.9.4.1

Fehlerkorrekturen

  • Die Magento-Protokollierungsfunktion funktioniert nun wie erwartet, nachdem der SUPEE-11086-Patch installiert wurde. Bisher konnte Magento nach Anwendung dieses Patches nur in eine Datei schreiben, die bereits auf dem Server vorhanden war, und keine neuen Protokolldateien erstellen.
  • Magento 1.14.4.0 und der PHP7.2-Support-Patch wurden korrigiert und um fehlende Dateien ergänzt. Die vorherige Version des Patches enthielt nicht die folgenden drei Dateien, die in Magento 1.14.4.0 enthalten waren. Magento 1.14.4.0: _lib/phpseclib/PHP/Compat/Function/arrayfill.php, lib/phpseclib/PHP/Compat/Function/bcpowmod.php, und _lib/phpseclib/PHP/Compat/Function/strsplit.php.

Durch die verschiedenen Sicherheitsverbesserungen wurden Änderungen bei Magento durchgeführt, die zu folgenden Auswirkungen geführt haben:

  • Sie können keine Dateien mit der Erweiterung .swf mehr in den WYSIWYG-Editor hochladen.
  • Warenkörbe von Kunden, die als Gast angemeldet sind, sind nach einem Magento-Update nicht mehr verfügbar oder funktionieren nicht mehr korrekt mit Checkout-Erweiterungen von Drittanbietern.
  • Das Authorize.net Direct Post-Modul verwendet nun SHA 512 statt MD5 basierte Signaturschlüssel. Sollten Sie dieses Modul verwenden ist es ggf. notwendig den Signaturschlüssel zu aktualisieren.
  • In der Vorschau von Newslettern im Administrationsbereich wird nun kein Javascript mehr ausgeführt. Sitemap-Namen sind jetzt auf 32 Zeichen begrenzt.

Handlungsempfehlung

Wir empfehlen das neue Update für ihre Commerce oder Open Source Version zu installieren, nachdem Sie es einen erfolgreichen Test in ihrer Testumgebung abgeschlossen haben. Sollte dies nicht möglich sein, lässt sich alternativ der Patch SUPEE-11155 installieren.