Siteation· security · 3 min read
Security Patches voor Magento 2.4 Augustus 2023
Op 8 augustus 2023 zijn belangrijke releases voor uw webshop uitgebracht met de beveiligingspatches Magento 2.4.6-p2, 2.4.5-p4 en 2.4.4-p5.
Wat bevatten de nieuwe security-only patches voor Magento 2.4?
Elke huidige security-only patch bevat drie correcties die kwetsbaarheden van de niveaus “Belangrijk” tot “Kritiek” volgens het bijbehorende Adobe Security Bulletin verhelpen.
Extra Composer-patch nodig voor kwetsbaarheid in jQuery-UI
Voor Magento-instanties waarin de jQuery-UI-bibliotheek als afhankelijkheid is geïntegreerd, moet nog een extra Composer-patch worden geïnstalleerd. Deze patch repareert een beveiligingslek dat door de relevante Amerikaanse instantie is aangemerkt als “Medium”-niveau in de National Vulnerability Database (NVD) (CVE-2022-31160). Adobe heeft in de officiële documentatie verduidelijkt welke patches nodig zijn voor de verschillende versies van Adobe Commerce en Magento Open Source.
Magento 2.4.6-p2: Aanwijzingen voor beveiliging en prestaties voor ontwikkelaars
In de release-notes voor Magento 2.4.6-p2 benadrukt Adobe twee belangrijke details:
Beveiligingsaanwijzing
In Magento 2.4.6-p2 wordt een wijziging teruggedraaid die was opgenomen in de beveiligingspatch Magento 2.4.6-p1: de waarde van fastcgi_pass in het bestand nginx.sample wordt weer teruggezet naar de vorige waarde (voor 2.4.6-p1) van fastcgi_backend. Deze waarde was per ongeluk veranderd in Magento 2.4.6-p1 naar php-fpm:9000.
Prestatieaanwijzing
Verder bevat Magento 2.4.6-p2 een hotfix voor prestatieverlies dat eerder was waargenomen in versies van Magento 2.4.6 in verband met herhaaldelijk laden van configuratiebestanden. Dit probleem moest tot nu toe worden opgelost met de patch ACSD-51892. Het betreffende probleem dat beschreven is in de Adobe Knowledge Base, is na installatie van Magento 2.4.6-p2 nu opgelost zonder extra patch.
Wat moeten eigenaren van Magento2 webwinkels nu doen?
Eigenaren van Magento 2-webwinkels moeten nu zo snel mogelijk de bijbehorende security-only patches Magento 2.4.6-p2, 2.4.5-p4 en 2.4.4-p5 installeren. In gevallen waar jQuery-UI is geïntegreerd, is ook een bijbehorende Composer-patch vereist om het systeem te voorzien van alle relevante beveiligingswijzigingen. Het Magento DevBlog legt uit hoe security-only patches precies werken. Deze patches zijn zoals gebruikelijk beschikbaar op GitHub.
Voor degenen die nog steeds Magento 2 in versie 2.4.3 of ouder gebruiken, is het nodig om de bijbehorende patch te verkrijgen via de betaalde Extended-Support om de ontdekte beveiligingslekken te dichten. De beschikbare keuzes zijn 2.4.3-p3-ext4, 2.4.2-p2-ext4, 2.4.1-p1-ext4, 2.4.0-p1-ext4 en 2.3.7-p4-ext4. Als alternatief kan ook een upgrade naar versie 2.4.4 of nieuwer worden uitgevoerd.
Uitgebreide informatie over beveiligingsgerelateerde verbeteringen in nieuwe releases wordt samengebracht in het Magento Security Center. Meer informatie over de laatste minor-release van Magento 2.4 is te vinden in een blogpost van juli 2020.
Komende releases
Volgens de Magento Roadmap worden op 10 oktober 2023 naast Magento 2.4.7-beta2 ook de volgende ronde security-only patches uitgebracht. Na nog een bèta-release en nog een ronde beveiligingspatches in het eerste kwartaal van het komende jaar, zal op 9 april 2024 de officiële release van Magento 2.4.7 plaatsvinden.
Heeft u hulp nodig?
Kunnen wij u ondersteunen bij het installeren van de huidige security-only patches voor uw winkel?