Magento 2.4.4 und weitere Releases im April 2022

Magento 2.4.4 und weitere Releases im April 2022

Mit der neuen Version Magento 2.4.4 erhalten Shopbetreiber neben besserer Performance und einem wichtigen Patch für eine jüngst entdeckte Sicherheitslücke auch eine Reihe funktionaler Neuerungen und Verbesserungen. Zudem gibt es diesmal wieder zwei unterschiedliche Security-only Patches: Magento 2.4.3-p2 und Magento 2.3.7-p3. Wir fassen die wichtigsten Fakten zu den neuen Releases zusammen.

Was gibt es Neues in Magento 2.4.4?

Magento 2.4.4 ist kompatibel mit PHP 8.1. Für das neue Release zählt Adobe diesmal nur einen einzigen Fix im Bereich Security. Hinzu kommen allerdings „hunderte“ qualitative Verbesserungen und Bugfixes. Auch die Hotfixes MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch und AC-384_Fix_Incompatible_PHP_Method__2.4.3_ce.patch, die für die zuletzt erschienenen Versionen 2.4.3, 2.4.3-p1 und 2.3.7-p2 veröffentlicht worden waren, sind im neuen Release enthalten.

Security

Der Security-Fix in diesem Release schließt eine als „kritisch“ eingestufte Schwachstelle, die laut Adobe bislang aber noch nicht von Kriminellen entdeckt und ausgenutzt worden sein soll. Zusätzlich zu diesem wichtigen Patch wurden in Magento 2.4.4 noch zahlreiche kleinere sicherheitsrelevante Änderungen vorgenommen. So werden beispielsweise Session-IDs nicht mehr in der Datenbank gespeichert und sowohl für die Storefront als auch für den Admin-Bereich sind nun standardmäßig sichere URLs mit HTTPS voreingestellt.

Adobe weist noch einmal darauf hin, dass die meisten Angriffsmuster, die in der Vergangenheit gegen Magento Onlineshops erfolgreich gewesen sind, Zugriff auf das Admin-Panel voraussetzen. Daher wird in den Release Notes noch einmal unterstrichen, wie wichtig Maßnahmen zur Absicherung des Magento Admins sind:

  • IP-Allowlisting: Den Admin-Zugriff auf einen bestimmten Kreis von IPs einschränken.
  • Zwei-Faktor-Authentifizierung (2FA): Zusätzlich zum Faktor „Wissen“ (Benutzername und Passwort) einen weiteren Faktor wie „Besitz“ (eines bestimmten Geräts) für den Login voraussetzen.
  • VPN: Ein virtuelles privates Netzwerk für den Zugriff zum Admin-Panel nutzen.
  • Individueller Admin-Pfad: Das Admin-Panel in einem anderen Verzeichnis als /admin erreichbar machen.
  • Starke Passwörter: Es sollten keine Passwörter verwendet werden, die sich über maschinelle Verfahren „erraten“ lassen.

Kompatibilität

Mit dem Release von Magento 2.4.4 ist die Plattform kompatibel mit einer Reihe von aktuelleren Versionen wichtiger Komponenten:

  • Alle Libraries und Dependencies wurden für den Betrieb mit PHP 8.1 aktualisiert.
  • Im Bereich Suche ist Magento 2.4.4 nun mit Elasticsearch 7.16 und OpenSearch 1.2 kompatibel.
  • Magento 2.4.4 enthält JQuery 3.6 und jquery-ui 1.13.0. Zudem wurden diverse weitere JavaScript-Libraries auf aktuelle Versionen geupdatet.
  • TinyMCE 5.8.1 wird nun unterstützt, während TinyMCE 4 aus der Codebasis entfernt wurde.
  • Für Tests ist in Magento 2.4.4 PHPUnit 9.5.x enthalten. Tests und Test-Frameworks wurden so angepasst, dass sie mit der aktuellen Version kompatibel sind.
  • Die meisten Laminas Dependencies wurden auf die jeweils aktuelle Version gehoben, so dass sie mit PHP 8.1 kompatibel sind. Drei Laminas Dependencies wurden entfernt, um die Zahl der Abhängigkeiten zu verringern.

GraphQL

Auch für GraphQL sind in Magento 2.4.4 wichtige Verbesserungen enthalten. So wurden unter anderem die Performance für Warenkorb-Queries und das Caching verbessert, die GraphQL Core-Library aktualisiert und Probleme mit Übersetzungen behoben.

Vendor-Bundled Extensions

Mit Ausnahme von Braintree wurden alle Vendor-Bundled Extensions aus Magento entfernt: Amazon Pay, dotdigital, Klarna, Vertex und YotPo. Um diese Dienste weiterhin nutzen zu können, muss die jeweilige Extension aus dem Commerce Marketplace installiert werden.

PayPal

Für die Bezahlmethode PayPal wurden das gemeinsame Bezahlen über Venmo, die Option „Später bezahlen“ und erweiterte Möglichkeiten für das Testen internationaler Zahlungen im Sandbox-Modus integriert.

Barrierefreiheit

Für die Barrierefreiheit der Storefront für sehbehinderte Menschen wurden Tooltips verbessert, Bezeichnungen und Tags für Bildschirmelemente geändert sowie Icons und Buttons angepasst. Im Page Builder können nun die für Screenreader wichtigen Alt-Attribute für Bilder befüllt werden.

Bugfixes

Die Zahl der im aktuellen Release behobenen Fehler liegt einmal mehr im dreistelligen Bereich. In den Release Notes zu Magento Open Source 2.4.4 lässt sich nachlesen, was genau dabei alles verbessert worden ist.

Backwards Incompatible Changes

Magento 2.4.4 enthält eine Reihe von Backwards Incompatible Changes (BIC), also Änderungen, die nicht abwärtskompatibel sind. Worum es sich dabei im Einzelnen handelt, lässt sich auf einer gesonderten Seite in den Commerce DevDocs nachsehen.

Die Security-only Patches Magento 2.4.3-p2 und 2.3.7-p3

Als Alternative zu einem sofortigen Update auf Magento 2.4.4 haben Betreiber von Magento 2.4 Onlineshops die Möglichkeit, vorerst lediglich den Security-only Patch Magento 2.4.3-p2 zu installieren. Damit wird das System ausschließlich mit den sicherheitsrelevanten Änderungen versorgt. Für Magento 2.3 gibt es mit dem Security-only Patch Magento 2.3.7-p3 auch diesmal ausschließlich Sicherheitsaktualisierungen und keine neuen Features oder funktionalen Verbesserungen mehr. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren.

Updates und Patches für Magento jetzt installieren

Die neue Version 2.4.4 von Magento sowie die Security-only Patches Magento 2.4.3-p2 und Magento 2.3.7-p3 stehen wie üblich in den Tech Resources zum Download bereit. Um ihre Shops und die Kundendaten zuverlässig abzusichern, müssen Betreiber von Magento Onlineshops nun so schnell wie möglich das Update auf die neue Version – oder alternativ den passenden Security-only Patch installieren.

Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.

Die nächsten Releases

Laut Magento Roadmap sollen am 9. August 2022 das Service-Release Magento 2.4.5 sowie die Security-only Patches Magento 2.4.4-p1, 2.4.3-p3 und 2.3.7-p4 veröffentlicht werden. Für Magento 2.3 wird das der letzte Patch sein.

Achtung: Der Support für Magento 2.3 endet im September 2022! Mit dem für den August geplanten Release des Security-only Patches Magento 2.3.7-p4 erreicht Magento 2.3 das End-of-Support (EoS), was Adobe in den Release Notes zu Magento 2.3.7-p3 noch einmal deutlich betont.

Damit wurde das ursprünglich für April 2022 geplante Ende der Lebensdauer von Magento 2.3 um fünf Monate verschoben. Nun ist davon auszugehen, dass es nicht noch einmal eine entsprechende Gnadenfrist geben wird. Onlineshops, die immer noch auf der Grundlage von Magento 2.3 laufen, lassen sich dann nicht mehr sicher betreiben und müssen daher noch rechtzeitig auf eine aktuelle Version von Magento 2.4 mit allen aktuellen Sicherheitspatches gehoben werden.

Upgrade – Update – Patch: Brauchen Sie Unterstützung?

Können wir Sie beim Upgrade von Magento 2.3 auf Magento 2.4, beim Update auf die neue Version 2.4.4 oder bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?

Jetzt Kontakt aufnehmen!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.