Blog durchsuchen

Magento Commerce und Open Source 1.9.4.3 und 1.14.4.3

MagentoSicherheit
extendedLogo

Am 8. Oktober hat Magento die Updates 1.9.4.3 und 1.14.4.3 veröffentlicht. Neben dem Security Patch SUPEE-11219 beinhalten sie zahlreiche andere Fehlerkorrekturen und Optimierungen. Die wichtigsten Änderungen über Magento Open Source 1.9.4.3 und Magento Commerce 1.14.4.3 finden Sie im Folgenden.

SUPEE-11219

Der Patch SUPEE-11219 sowie die Updates Magento Open Source 1.9.4.3 und Magento Commerce 1.14.4.3 enthalten wichtige Sicherheitskorrekturen. So können hiermit unter anderem Schwachstellen hinsichtlich der Ausführung von Remote Code Execution (RCE), Cross-Site-Scripting (XSS) und Cross-Site Request Forgery (CSRF) geschlossen werden.

Folgende kritische Sicherheitslücken wurden behoben:

  • PRODSECBUG-2462: Ein Benutzer mit Administratorrechten für den Import von Features kann beliebigen Code ausführen.
  • PRODSECBUG-2443: Ein Admin-Benutzer kann die Konfigurationsparameter einer Support-Konfiguration ändern. Diese Änderung kann zu einer Remotecodeausführung führen.
  • PRODSECBUG-2492: Ein Admin-Benutzer mit Zugriffsrechten für Produktattribute kann Layout-Updates nutzen, um die Ausführung von Remote-Code auszulösen.

Die Patches und Upgrades sind für die folgenden Magento-Versionen verfügbar:

  • Magento Commerce 1.9.0.0.0.0 - 1.14.4.2
  • Magento Open Source 1.5.0.0.0 - 1.9.4.2

Fehlerkorrekturen

  • Der WebserviceX wurde aus der Magento 1.x Codebasis entfernt.
  • Mit WährungsumrechnerAPI und FixerIO werden diesem Release zwei neue Währungsdienste für den Import von Wechselkursen beigefügt.

Durch die Korrektur von Sicherheitsschwachstellen wurden Änderungen bei Magento durchgeführt, die zu folgender Auswirkung geführt haben können:

  • Erweiterungen oder Anpassungen, die vom Speichern von Konfigurationsfeldern abhängen, die nicht in einer system.xml-Dateien definiert sind, funktionieren nach dem Update nicht mehr korrekt.

Handlungsempfehlung

Wir empfehlen das neue Update, nach erfolgreichem Test in Ihrer Testumgebung, entsprechend Ihrer Commerce oder Open Source Version zu installieren. Sollte dies nicht möglich sein, können Sie alternativ den Patch SUPEE-11219 installieren.

Sie haben Fragen, Wünsche, Kritik, Anregungen oder wollen uns einfach mal Ihre Meinung zu unserem Blog mitteilen? Hier haben Sie Gelegenheit, direkt mit uns in Kontakt zu treten.

E-Mail senden