Security-only Patches für Magento 2.4 im August 2023
Am 8. August 2023 sind mit den Security-Patches Magento 2.4.6-p2, 2.4.5-p4 und 2.4.4-p5 wichtige Releases für Shopbetreiber veröffentlicht worden. Im kostenpflichtigen Extended-Support für ältere Magento Versionen gibt es ebenfalls neue Sicherheitsupdates. Wir fassen die wichtigsten Fakten zu den neuen Patches zusammen.
Was enthalten die neuen Security-only Patches für Magento 2.4?
Die aktuellen Security-only Patches enthalten jeweils drei Korrekturen. Damit werden laut zugehörigem Adobe Security Bulletin Schwachstellen der Bedrohungsstufen „Wichtig“ bis „Kritisch“ geschlossen.
Zusätzlicher Composer Patch für Schwachstelle in jQuery-UI nötig
Für Magento Instanzen, in denen die Library jQuery-UI als Abhängigkeit integriert ist, muss noch ein zusätzlicher Composer Patch installiert werden. Die damit geschlossene Sicherheitslücke wurde von der zuständigen US-Behörde mit der Bedrohungsstufe „Medium“ in der National Vulnerability Database (NVD) eingestuft (CVE-2022-31160). Welche Patches für welche Versionen von Adobe Commerce und Magento Open Source nötig sind, hat Adobe in der offiziellen Dokumentation aufgeschlüsselt.
Magento 2.4.6-p2: Hinweise zu Security und Performance für Entwickler
Adobe weist in den Release Notes zu Magento 2.4.6-p2 noch auf zwei wichtige Details hin:
Security-Hinweis
In Magento 2.4.6-p2 wird eine im Security-only Patch Magento 2.4.6-p1 enthaltene Änderung wieder rückgängig gemacht: Der Wert vonfastcgi_passin der Datei nginx.sample wurde wieder auf den vorherigen (vor 2.4.6-p1) Wert vonfastcgi_backendgeändert. Der Wert war in Magento 2.4.6-p1 versehentlich aufphp-fpm:9000geändert worden.Hinweis zur Performance
Zudem enthält Magento 2.4.6-p2 einen Hotfix für einen in den vorherigen Versionen von Magento 2.4.6 beobachteten Leistungsabfall im Zusammenhang mit dem wiederholten Laden von Konfigurationsdateien, der bislang mithilfe des Patches ACSD-51892 behoben werden musste. Das im entsprechenden Eintrag in der Adobe Knowledge Base näher beschriebene Problem ist nach der Installation von Magento 2.4.6-p2 demnach auch ohne zusätzlichen Patch gelöst.
Was müssen Betreiber von Magento 2 Onlineshops jetzt tun?
Betreiber von aktuellen Magento 2 Onlineshops müssen nun so bald wie möglich den jeweils passenden Security-only Patch Magento 2.4.6-p2, 2.4.5-p4 beziehungsweise 2.4.4-p5 installieren. Wo jQuery-UI integriert ist, muss zusätzlich noch der passende Composer-Patch installiert werden, damit das System mit allen sicherheitsrelevanten Änderungen versorgt ist. Im Magento DevBlog wird erklärt, wie genau Security-only Patches funktionieren. Die aktuellen Security-only Patches stehen wie üblich auf GitHub bereit.
Wer Magento 2 noch in einer Version 2.4.3 oder älter betreibt, muss den für die Installation passenden Patch im kostenpflichtigen Extended-Support beziehen, um die entdeckten Sicherheitslücken zu schließen. Zur Auswahl stehen 2.4.3-p3-ext4, 2.4.2-p2-ext4, 2.4.1-p1-ext4, 2.4.0-p1-ext4 und 2.3.7-p4-ext4. Alternativ lässt sich natürlich auch ein Upgrade auf eine Version 2.4.4 oder aktueller durchführen.
Detaillierte Informationen über sicherheitsrelevante Verbesserungen in neuen Releases werden im Magento Security Center zusammengestellt. Alles Wissenswerte rund um das letzte Minor-Release Magento 2.4 haben wir bereits im Juli 2020 in einem Blog-Beitrag zusammengefasst.
Die nächsten Releases
Laut Magento Roadmap soll am 10. Oktober 2023 neben Magento 2.4.7-beta2 die nächste Runde Security-only Patches veröffentlicht werden. Nach einem weiteren Beta-Release und noch einer Runde Sicherheits-Patches im ersten Quartal des kommenden Jahres soll am 9. April 2024 das offizielle Release von Magento 2.4.7 kommen.
Brauchen Sie Unterstützung?
Können wir Sie bei der Installation des aktuellen Security-only Patches für Ihren Shop unterstützen?
