Im nunmehr zweiten Sicherheitsupdate nach Ende des Supports für Magento 1 werden Lücken geschlossen, die Adobe selbst als wichtig bzw. kritisch einstuft. Während die meisten der geschlossenen Lücken mit Admin-Zugang ausnutzbar sind, wird auch eine Cross-site Scripting-Lücke genannt, die ohne Credentials auskommt.
Betroffene Versionen:
- Magento Open Source 2.3.5-p1, 2.3.5-p2, 2.4.0 und ältere
- Magento Commerce 2.3.5-p1, 2.3.5-p2, 2.4.0 und ältere
Magento 2.3
- Magento Open Source 2.3.6 (Release Notes)
- Magento Commerce 2.3.6 (Release Notes)
Magento 2.4
- Magento Open Source 2.4.0-p1 (Security-only patch ohne Funktionserweiterungen)
- Magento Commerce 2.4.0-p1 (Security-only patch ohne Funktionserweiterungen)
- Magento Open Source 2.4.1 (Release Notes)
- Magento Commerce 2.4.1 (Release Notes)
Installation
Eine Ausführliche Anleitung zur Installation von Updates und Patches findet sich hier:
https://devdocs.magento.com/guides/v2.4/install-gde/composer.html
Beispiel für die Installation der Security-Patch-Only-Version 2.4.0-p1 mittels composer:
composer create-project –repository-url=https://repo.magento.com/ magento/project-enterprise-edition=2.4.0-p1 <install-directory-name>
Automatische Magento Updates
Wie immer werden managedhosting.de GmbH-Kunden mit entsprechendem Servicevertrag automatisch über den anstehenden Update-Termin informiert. Sie haben noch keinen Servicevertrag und suchen einen Partner, der proaktiv alle notwendigen Security-Patches für Ihren Magento-Shop durchführt? Wenden Sie sich an uns, um ein individuelles Angebot zu erhalten …
