Zurück zur übersicht

Magento 2.3.2 – Kritisches Sicherheitsupdate

Steven - Projektmanagement
Geschrieben von Steven - Projektmanagement

Mit dem neuen Release, welcher am 25. Juni 2019 veröffentlicht wurde, schafft es Magento auf die Version 2.3.2. und schließt damit 9 kritische Sicherheitslücken. Mit der neuen Version werden aber auch die Versprechungen der Imagine in die Tat umgesetzt – Die Erweiterung des Magento Kern. Wir durchleuchten die wichtigsten Änderungen und sehen uns an wie stark sich ein unmittelbares Update empfiehlt.

Sneak Peak – Some Quick Facts

  • 130 Verbesserungen durch Erweiterungen
  • 75+ Security Maßnahmen
  • 200+ Funktions-Optimierungen des Core Systems

Mehr Sicherheit durch HackerOne

In den Magento Release Notes ist die Rede von 75 Sicherheits-Erweiterungen, welche vor allem gegen das sogenannte XSS (Cross-Site Scripting) und RCE (Remote Code Execution) helfen und somit das System umfassender gegen Angriffe sichern sollen als bisher.

Ein großer Teil ist sicherlich dem Adobe Tool HackerOne zu verdanken, mit dem die Community ein Schwachstellen-Meldetool an die Hand bekommen hat. Mittels dieser Plattform können gemeinsam Security Löcher geschlossen werden.

Hinzu kommt die moderne Software Bibliothek von Sodium mit der die Verschlüsselungen (encryption, decryption, signatures, password hashing und mehr) verbessert und auf den neusten Stand der Technik gebracht werden.

Hier wird schnell klar, dass es beim Thema Sicherheit noch Optimierungsbedarf gab. Sieht man sich den sogenannten CVSS-v3-Score (Common Vulnerability Scoring System) der behobenen Sicherheitslücken an, welche vom Magento Team in den Patch Notes veröffentlicht wurden, erkennt man, dass es Sage und Schreibe 19 Patches welche einen CVSS-v3-Score von 7.0 oder höher aufweisen gibt. Dies entspricht einem hohem Risiko. Davon sind 9 Patches mit einem Score von 9.0 oder höher sogar als kritisch einzustufen.

Boost it – Performance Optimierung

Ladezeiten werden oftmals nicht zu unrecht kritisiert wenn man über Magento spricht. Hier hat der System Hersteller reagiert und verspricht eine durchschnittliche Optimierung der Geschwindigkeit von 20%.

Verbessert wurden folgende Bereiche:

  • Antwortzeiten der Frontend Seiten
  • Optimierung der Gleichzeitigen Anfragen an den Block Cache Speicher
  • Produkt Galerie Ladezeiten Optimierung
  • Verbesserte Seiten Darstellung durch zurückgestelltes Laden von Skripten

Mit mehr als 130 Erweiterungen für die Qualität des System hat Magento einiges getan, um die Leistungsfähigkeit und Sicherheit des System zu erweitern.

Now available – Amazon Pay

Mit der Amazon Pay Unterstützung, welche nun mit der Zahlungsrichtlinie PSD konform ist, kann das Amazon Feature nun auch bedenkenlos in Deutschland verwendet werden. Damit erfolgte ein wichtiger Schritt um eine beliebte Zahlungsweise für den deutschen Markt zur Verfügung zu stellen.

Patch it – Magento 1 bekommt Update

Auch die älteren Shops werden glücklicherweise noch bedient und erhalten mit dem Patch SUPEE-11155 die wichtigsten Sicherheitsupdates.

Man sollte jedoch bedenken, dass es nur noch bis zum Juni 2020 Support seitens Magento für die Version 1 gibt.

Fazit

Wir empfehlen vor allem aufgrund der sicherheitsrelevanten Themen das Update so schnell wie möglich zu implementieren.

Es wird klar ersichtlich, dass Magento 2.3.2 eine klare Empfehlung für eine schnelle Implementierung erhält. Nicht nur die vielen Sicherheitslücken – 9 davon kritisch – die geschlossen wurden, sondern auch die gesteigerte Performance sind maßgebliche Faktoren, die ein Update relevant für das Unternehmen machen.

Machen Sie Ihre Kunden und sich selbst ein Stück glücklicher und warten Sie nicht zu lange mit den notwendigen Schritten Ihre Shop Plattform aktuell zu halten.

Magento 2.3.2 - Kritisches Sicherheitsupdate 1SEC

Sie benötigen auch ein Sicherheitsupdate für Ihren Magento Shop?

Quellen:
https://devdocs.magento.com/guides/v2.3/release-notes/ReleaseNotes2.3.2OpenSource.html
https://magento.com/security/patches/supee-11155
https://www.netz98.de/blog/magento-news/magento-2-3-2-noch-mehr-sicherheit-dank-adobe-tool/
https://firebearstudio.com/blog/magento-2-3-2-features.html
https://www.heise.de/security/meldung/Jetzt-patchen-Luecken-in-Magento-lassen-sich-zu-Exploit-Chains-zusammenbauen-4461966.html
https://www.first.org/cvss/specification-document#5-Qualitative-Severity-Rating-Scale