Magento 2.3.1

Version 2.3.1 wurde am 26. März 2019 veröffentlicht. Das Release stopft kritische Sicherheitslücken, bringt über 200 funktionale Verbesserungen und Commerce-KundInnen das verbesserte CMS-Modul Page Builder.

In diesem Artikel finden Sie einen Auszug der Neuerungen. Für Details können Sie die vollständigen Release Notes durchsuchen.

Behebung von Sicherheitslücken in Magento 2.3.1

Insgesamt werden mit diesem Release über 30 Sicherheitsprobleme behoben. Auf der zehn-teiligen Skala des Einstufungs-Systems CVSS v3.0 bewegen sich die Lücken zwischen 3.1 und 9.8. Die meisten Lücken erfordern, dass Angreifer einen Backend-Zugriff haben.

Besonders zu beachten ist Security-Bug PRODSECBUG-2198, durch den man ohne Backend-Zugriff die Datenbank infiltrieren kann. Dazu gleich mehr.

Abgrenzung zu SUPEE-11086

Im Zusammenhang mit diesem Sicherheits-Release ist oft von SUPEE-11086 zu lesen. Das ist so nicht zu 100% richtig.

Es gibt viele Überschneidungen in den Sicherheitslücken zwischen 2.3.1 und SUPEE-11086, doch SUPEEs sind immer nur Patches, die für Magento 1 angewendet werden.

Und um die Sache noch komplizierter zu machen: für Magento 1 gibt es eigene Security-Releases. Wenn man die anwendet, dann benötigt man SUPEE-11086 nicht, weil der Patch direkt in das neue Release eingebaut ist.

Klingt verwirrend? Da gebe ich Ihnen recht.

Im Klartext heißt das:

  • Läuft Ihr Shop auf Magento 2, dann aktualisieren Sie auf Magento 2.3.1, 2.2.8 oder 2.1.17.
  • Läuft Ihr Shop auf Magento 1 und es ist für Sie möglich, dann aktualisieren Sie auf Open Source 1.9.4.1 oder Commerce 1.14.4.1.
  • Läuft Ihr Shop auf Magento 1 und Sie können nicht auf diese Versionen aktualisieren, dann wenden Sie SUPEE-11086 an.

Die größte Gefahr: PRODSECBUG-2198

Obwohl andere Lücken in diesem Release einen höheren CVSSv3-Score aufweisen, ist PRODSECBUG-2198 für die Shops die größte Bedrohung. Hier kann jede/r auch ohne Backend-Rechte bösartige Datenbank-Abfragen über einen speziellen HTTP-Aufruf ausführen (SQL-Injection).

Führen Sie wenn es möglich ist direkt ein Update auf Magento 2.3.1 (oder, falls man noch nicht auf 2.3.1 unterwegs ist, auf Version 2.2.8). Falls das nicht zeitnah möglich ist, installieren Sie zumindest den Patch für PRODSECBUG-2198. Das ist schnell möglich und bewahrt Sie vor dem schlimmsten. (Siehe unten, wie Sie das tun können.)

Ein gewichtiger Grund, warum diesmal ein wirklich schnelles Updaten anzuraten ist ist, dass die Firma Ambionics Security innerhalb von drei Tagen veröffentlicht hat, wie man die Lücke ausnutzen kann und gleich noch einen Exploit dazu veröffentlicht hat. Normalerweise gibt man DienstleisterInnen mehr Zeit, die Installation zu sichern, bevor man einen Exploit veröffentlicht. Hier war das leider nicht der Fall.

Barry vd. Heuvel bzw. Peter Jaap sei Dank kann PRODSECBUG-2198 losgelöst von den restlichen Änderungen als Composer-Patch angewendet werden.

Überprüfen, ob ein Shop für PRODSECBUG-2198 verwundbar ist

Die Website mage-sqli.com von Alex Sbille bietet einen Check, ob die Lücke in einem Shop ausgenutzt werden kann.

Hinweis: wenn Sie öffentliche Check-Tools verwenden, bedenken Sie, dass Sie damit potentiell Dritten Informationen über die Verletzlichkeit Ihres Shops mitteilen. Ich kann nicht für die Anbieter dieses Services bürgen.

Funktionale Verbesserungen in Magento 2.3.1

In das Release haben es über 200 Fehler-Behebungen, Verbesserungen und neue Features geschafft. Eine große Rolle spielt dabei die Community, die mit über 500 Pull-Requests dazu beigetragen hat.

Flüssigere Arbeit beim Anlegen von Bestellungen im Backend

Wenn man im Admin-Bereich Bestellungen anlegt, gab es bisher Verzögerungen beim Erstellen von Rechnungs- und Versand-Adressen. Nun erfolgt die Verarbeitung der Daten erst, wenn die Felder ausgefüllt worden sind.

Außerdem wurde die Performance verbessert, so dass nun Bestellungen für Kunden mit über 3.000 Adressen ohne Performance-Einbußen erstellt werden können (relevant für B2B-Shops).

Produkt-Bilder größer als 1920×1200 Pixel unkomprimiert in voller Größe hochladbar

Lädt man ein Produkt-Bild im Backend hoch das größer als 1920×1200 Pixel ist, dann hat Magento bisher das Bild verkleinert und neu komprimiert. Mit 2.3.1 kann man nun die Größenanpassung und Komprimierung steuern, um große Bilder ungestört in voller Qualität anzulegen.

Verbesserungen in der Lager-Verwaltung

Die Lager-Verwaltung, auf Englisch „Inventory Management“ oder auch „Multi-Source Inventory“ (MSI), hat weitere Verbesserungen erfahren:

  • Die Such-Engine Elasticsearch unterstützt nun die Multi-Lager-Verwaltung. Das bringt auch eine bessere Performance für Katalog-Abfragen, welche Lager-Informationen betreffen.
  • Ein neuer Kommissionierungs-Algorithmus erlaubt es, die bestellten Artikel aus den Lagern zusammenstellen, die der Lieferadresse geographisch am nächsten sind (auf Englisch: „Picking based on Distance Priority Source Selection algorithm (SSA)). Zur Ermittlung der Distanz wird die Google-Maps-API verwendet.

Mehr Informationen finden Sie in den Release Notes von MSI 1.1.0.

Ausbau der GraphQL-API

=> Hauptartikel: GraphQL

Mit Version 2.3.1 baut Magento 2 die Unterstützung der GraphQL-Schnittstelle weiter aus:

  • Im Benutzer-Konto kann nun auf verschiedene Bereiche lesend und schreiben zugegriffen werden.
  • Technisch komplexe Katalog-Features wie URL-Rewrites für Produkte und das Rendern von WYSIWYG-Feldern werden nun unterstützt.
  • Es gibt mehrere Verbesserungen im GraphQL-Framework. Zum Beispiel wird nun die Komplexität von Schnittstellen-Anfragen berechnet um zu verhindern, dass zu aufwändige Anfragen den Shop in die Knie zwingen.

Genauere Details gibt es in den Release Notes von GraphQL für Open Source 2.3.1.

Verbesserungen bei PayPal Express Checkout

Mit dem Umstieg auf Version 4 von checkout.js profitieren HändlerInnen von einer höheren Geschwindigkeit beim Bestellen mit PayPal Express.

Außerdem können neue Zahlungsoptionen hinzukommen, ohne dass man technisch Hand anlegen muss. Das zeigt sich direkt mit den neuen Zahlarten Venmo und PayPal Credit.

Unterstützung von Elasticsearch 6.x und Redis 5.0

Diese neueren Versionen können ab Magento 2.3.1 verwendet werden.

Automatische Aktualisierung von Composer-Abhängigkeiten

Das neue Composer-Plugin magento/composer-root-update-plugin aktualisiert alle Abhängigkeiten in composer.json während eines Magento-2-Upgrades automatisch.

Funktionalität getestet mit PHP 7.2.11

Das Core-Team hat verifiziert, dass Magento 2.3.1 mit PHP 7.2.11 läuft.

Page Builder (nur Magento Commerce)

Kunden mit der kostenpflichtigen Commerce-Lizenz steht nun das stark verbesserte CMS-Modul „Page Builder“ zur Verfügung.

Entgegen ursprünglicher Aussagen wird Page Builder leider nicht als kostenpflichtiges Zusatz-Modul für Open-Source-Kunden erwerbbar sein.

Weitere Informationen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.