Blog durchsuchen

Magento Commerce und Open Source 2.3.3 und 2.2.10

MagentoSicherheit
extendedLogo

Magento hat am 8. Oktober 2019 wichtige Sicherheitsupdates für Magento 2 veröffentlicht. Die Updates Magento 2.3.3 und 2.2.10 enthalten eine Reihe von wichtigen Sicherheitskorrekturen und Funktionsverbesserungen, die wir in dem folgenden Beitrag zusammengefasst haben.

Bitte beachten Sie, dass ein Update hier besonders wichtig ist, da die Sicherheitslücke PRODSECBUG-2403 Angreifern erlaubt, beliebige Codes auf dem Magento-Hostsystem auszuführen!

Gelöste Sicherheitsprobleme

75 kritische Sicherheitslücken, wie die Schwachstellen durch Remote Code Execution (RCE) und Cross-Site-Scripting (XSS), werden mit diesem Release geschlossen. Mit den signifikanten Verbesserungen der Plattformsicherheit soll der Schutz vor zukünftigen Angriffen erhöht werden.

Unter anderem wurden dabei folgende Sicherheitslücken behoben:

  • PRODSECBUG-2403: Ein Angreifer kann beliebigen Code auf dem Magento-Hostsystem ausführen
  • PRODSECBUG-2462: Ein Benutzer mit Administrator-Rechten kann beliebigen Code mithilfe der Import-Funktion ausführen
  • PRODSECBUG-2405: Ein Benutzer mit Zugriff auf Email-Templates kann beliebige SQL-Querries ausführen und sensible Daten aus der Datenbank auslesen

Detaillierte Informationen zu allen geschlossenen Sicherheitslücken, finden Sie auf Magento Tech Resources.

Als Alternative zu dem Update auf 2.3.3 ist es auch möglich, nur die Sicherheitskorrekturen zu installieren. Diese befinden sich in dem Sicherheitsupdate 2.3.2-p1.

Optimierungen

Am 14. September 2019 trat die Verordnung der Zahlungsdienste der Europäischen Union mit der aktualisierten Version PSD2 in Kraft, was zu Beeinträchtigungen der meisten Zahlungsvorgänge mit Kreditkarten und Banküberweisungen führen konnte. Mit dem neuen Magento Update 2.3.3 entsprechen die wichtigsten Zahlungsmethoden nun den PSD2-Vorschriften.

Weitere Verbesserungen

Kürzere Ladezeiten

Durch das Verschieben unkritischer CSS-Elemente an den unteren Rand der Seite, kann die Geschwindigkeit beim Laden von Seiten verbessert werden. Hierdurch kann der Browser eine Storefrontpage schneller darstellen und anzeigen. Diese Einstellung ist standardmäßig deaktiviert, kann aber über Stores > Configuration > Advanced > Developer > CSS Settings > Use CSS critical path aktiviert werden.

Zudem zeigen Speicherseiten beim Laden von benutzerdefinierten Schriften Text in lesbaren Systemschriften an, was die Seitenladegeschwindigkeit deutlich erhöht.

Verbesserung der Infrastruktur

Neben weiteren Verbesserungen, wie der Qualität des Frameworks und diverser Module, z.B. Katalog, URL-Rewrite und CheckOut, wurde auch der WYSIWYG-Editor auf TinyMCE v. 4.9.5 aktualisiert.

GraphQL

Die GraphQL-Funktionalitäten wurden erweitert und bieten nun eine verbesserte Abdeckung von PayPal-Zahlungsintegration, Geschenkkarten und Shop-Guthabenfunktionen.

Weitere Informationen zu GraphQL-Optimierungen finden Sie hier

Sonstiges

Magento unterstützt ab der Version 2.3.3 nun auch PHP in der Version 7.3. Die 7.2 Unterstützung ist außerdem nicht mehr experimentell.

Weiterhin wird mit Magento 2.3.3 auch Varnish 6.2 offiziell unterstützt.

Eine ausführliche Auflistung aller Optimierungen finden Sie auf Magento 2.3.3 Release Notes.

Handlungsempfehlung

Neben zahlreichen Optimierungen beinhalten diese Updates auch erhebliche Sicherheitskorrekturen. So wurde unter anderem ein „Unauthenticated Remote Code Execution“ korrigiert. Wir empfehlen Magento 2-Benutzern daher dringend das entsprechende Update auf 2.3.3 bzw. 2.2.10, nach erfolgreichem Test in Ihrer Testumgebung, zu installieren. Wer das Update aktuell nicht installieren kann, kann als Übergangslösung das reine Sicherheitsupdate 2.3.2-p1 installieren. Sollten Sie noch Magento 2.1 oder 2.0 verwenden, empfehlen wir Ihnen dringend ein Update auf Magento 2.2 oder 2.3 durchzuführen.

Sie haben Fragen, Wünsche, Kritik, Anregungen oder wollen uns einfach mal Ihre Meinung zu unserem Blog mitteilen? Hier haben Sie Gelegenheit, direkt mit uns in Kontakt zu treten.

E-Mail senden