SUPEE – Yeay! Und wieder ein neues Magento Sicherheitsupdate
Montag, 16. Juli 2018

SUPEE – Yeay! Und wieder ein neues Magento Sicherheitsupdate

Lange Zeit war es ruhig um Magento … Lange? werden einige fragen, „ich habe doch erst Ende Februar ein teures Update einspielen lassen ...“

Tatsächlich liegen dieses mal 4 Monate zwischen zweit Patches, was ein weniger länger als die durchschnittliche Zeit zwischen zwei SUPEE Patches bzw. Versionen ist.

 

Seit Ende Juni gibt es daher die neuen Magento Community Versionen 1.9.3.9 und 2.2.5 sowie Magento Commerce 1.14.3.9 und 2.1.14 zum Download. Durch diese Updates werden zahlreiche Sicherheitslücken geschlossen, darunter auch hoch riskante wie beispielsweise Remote Code Execution (REC) im Bereich Color-Swatches (M2) oder RCE um jedmögliche Dateien über den Administrationsbereich an beliebige Stellen zu kopieren (M1). In Zahlen heißt das: 12 riskante oder hochriskante Sicherheitsprobleme in Magento 2 und 7 in Magento 1.

Doch dieses Mal haben die Magento Entwickler auch mit einem längst überfälligen Problem abgeschlossen. Wer kennt das nicht: der Shop wächst und gedeiht und umfasst immer mehr Produkt und damit beginnen die Probleme – vor allem hinsichtlich Performance. Ein großes Problem war bisher, dass beim Speichern eines Produktes jedes Mal auch eine neue Detailseiten URL erzeugt und natürlich in der Datenbank gespeichert wurde. Wäre ja grundsätzlich kein großes Thema, wenn vorhandene URLs dabei ersetzt oder aktualisiert würden. Aber nein! Bisher wurde die URL zwar als bereits bestehend erkannt, jedoch dann kurzerhand mit -1 gepostfixed und als zusätzliche Weiterleitung gespeichert. Wiederholt man dieses Spielchen ein paar Mal, so hat man schnell mehrere Millionen unnütze Einträge in der Datenbank, die den Shop regelmäßig beim Neuindexieren ausbremsen oder gar lahmlegen. Damit soll nun endlich Schluss sein - „hat ja auch nur knapp 10 Jahre gedauert!“ - dachten wir und haben dies gleich mal getestet. Und siehe da, es funktioniert!

Das Update lässt sich auch relativ einfach einspielen, vorausgesetzt man hatte zuvor bereits auf die Vorgängerversion aktualisiert und das Template wurde gemäß den Magento-Konventionen erstellt – wovon wir natürlich ausgehen!

Autor: Mario Pöschl

Magento

Mario Pöschl

Ihr Ansprechpartner:
Mario Pöschl - Webentwicklung und eCommerce-Lösungen

Kontaktaufnahme »

Weitere Beiträge in dieser Kategorie:
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok