Kritische Magento Sicherheitslücke – Patch (SUPEE-5344) erforderlich!

Fast still und heimlich hat das Magento Team am 09.02.2015 einen Patch für fast alle Magento Versionen veröffentlicht. Im Netz und per Google lassen sich kaum Infos zum Patch finden daher reichen wir diesen Beitrag erst jetzt nach.

Im Magento Core wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz zu erhalten bzw. Dateien auf dem Server zu speichern. Diese Dateien können später für weitere Angriffe auf externe Ziele oder als Backdoor zum Shop verwendet werden.

Betroffen sind die Magento Versionen CE 1.6 bis CE 1.9 sowie EE 1.11 bis EE 1.14. Auch die aktuellen Versionen CE 1.9.1.0 und EE 1.14.1.0 sind betroffen!

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. rm var/cache/* -rf

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt. Die zu editierenden Dateinamen befinden sich über den geänderten Zeilen.
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden mit einem SSD Business Hosting oder CloudServer können die Updates jederzeit wie oben beschrieben per SSH einspielen, SSD StartUp und Kunden älterer Tarife können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen. – Für das Einspielen des Patches berechnen wir eine einmalige Servicegebühr.


Magento Enterprise Edition erschienen!

Magento Enterprise Edition erschienenVarien hat es wieder einmal geschafft den eigenen Zeitplan zu 100% einzuhalten. Bereits vor einigen Tagen wurde die Enterprise Edition von Magento angekündigt, seit dem gab es viele Spekulationen was die Enterprise Version kosten wird und was Sie zu bieten hat. – Das Warten hat ein Ende!

Laut Blogbeitrag soll die Enterprise Edition einige neue Features zu bieten haben, welche gerade für größere Unternehmen bzw. Installationen interessant sind. Ein SLA-basierter Support mit garantierter Reaktionszeit gehört ebenso zur Grundausstattung der Enterprise Version.

Da sowohl die Community Edition als auch die Enterprise Edition auf dem gleichen Kern aufbauen, soll ein Upgrade sehr einfach durchzuführen sein. Bereits installierte oder gekaufte Module können wie gewohnt weiter verwendet werden.

Ebenso überarbeitet wurde das Magento Partner Programm. In Zukunft wird es eine Unterscheidung zwischen Solution Partners, Hosting Partner und Industry Partners geben. Genauere Details werden in Kürze veröffentlicht.

Fakten zur Enterprise Edition:

  • Kosten: Abgerechnet wird die Nutzung der Enterprise Edition nach dem Abo-Prinzip, die günstigste Ausführung ist ab 8900 $ (ca. 6751 €) pro Jahr zu haben.
  • Funktionsübersicht
  • Versionsvergleich

Magento Enterprise erscheint noch diesen Monat

Bisher gab es einige Gerüchte darüber, dass Magento in Zukunft in zwei Versionen angeboten wird. Neben der bereits bekannten OpenSource Lösung wird es in Zukunft auch eine kostenpflichtige Enterprise Version mit weiteren Features geben.

Am 08.04.2009 wurden die Magento Partner darüber in Kenntnis gesetzt, dass Magento Enterprise ab dem 15.04.2009 der Öffentlichkeit vorgestellt wird. Bisher gibt es keine offizielle Funktionsliste, allerdings sollen die s.g. „Shoppingclubs“ eine große Rolle spielen.

Zusammen mit der neuen Enterprise Version werden auch die Partner-Level neu sortiert, so sollen die bekannten Platinum, Gold, Silber und Associate Partnerstufen durch die neuen Enterprise, Professional und Community Partners abgelöst.

Wir sind sehr gespannt was die neue Version zu bieten hat und was Sie kosten wird, gehen allerdings schon jetzt davon aus, dass es einige sehr interessante Features geben wird!


SOAP Webservice API WSDL Bug PHP >= 5.2.6

Durch einen Bug in der aktuellen PHP Version kann es zu Problemen mit dem Magento Webservice und SOAP Requests kommen. Der Fehler wurde bereits von den Magento Entwicklern gefixt und mit wird dem nächsten Update eingespielt.

Wer bereits jetzt den Webservice nutzen möchte / muss, kann auf der Magento Website ein Diff-File mit den entsprechenden Änderungen herunterladen. Nach der Anpassung der Core-Files sind die SOAP Webservice API WSDLs unter der URL http://ihre-domain.de/api/v2_soap?wsdl erreichbar.

Da wir immer die neuesten Software Versionen einsetzen, derzeit PHP 5.2.9, sind alle Kunden von dem Problem betroffen.


Update: Magento 1.3.0 erschienen!

Das soeben veröffentlichte Magento Update hat es mal wieder in sich, so wurden neben zahlreichen Bugfixes lang erwartete Features eingebaut. Zu den Highlights dieses Releases gehören:

  • Die individuellen Optionen wurden um den Kundendateiupload und Datum / Zeit Felder ergänzt.
  • Es wurden alle Methoden im WDSL für SOAP beschrieben um die Anbindung diverser Programmiersprachen wie .NET, Java, usw. zu verbessern.
  • Verbesserte Performance in vielen Bereichen und der lang erwartete „Frontend Flat Catalog“. Nur der Flat Catalog soll bereits 40% Performance-Zuwachs und weniger Speicherbedarf bewirken.

Wie immer findet man in den Release Notes eine Liste aller Änderungen und die dazugehörigen Diff-Files.

Vor dem Update Backup erstellen nicht vergessen!!!

Frontend Flat Catalog

Der „Flat Catalog“ besteht aus 2 Teilen (Kategorien / Produkte) und sollte bei Katalogen mit mehr als 1000 Artikelnummern aktiviert werden.

Die Aktivierung ist relativ einfach, zuerst müssen im Backend unter SYSTEM => CACHE MANAGEMENT die entsprechenden Kataloge erstellt werden. Dazu genügt es die entsprechenden neuen Buttons „Rebuild Flat Catalog Category“ und „Rebuild Flat Catalog Product“ zu drücken. Je nach Artikelzahl kann die Erstellung einige Sekunden bis Minuten dauern.  Sobald die Kataloge erstellt wurden müssen diese nur noch unter SYSTEM => KONFIGURATION => KATALOG => KATALOG aktiviert werden.


Update: Magento Bugfix 1.2.0.3 erschienen!

Mit dem heutigen Release der Version 1.2.0.3 werden 6 Fehler des 1.2.0er Updates behoben:

  • Fixed Google Website Optimizer scipts on CMS pages
  • Fixed category attributes codes for Google Website Optimizer
  • Fixed configuration of merchant calculated shipping methods in Google Checkout
  • Fixed #10102: Capture online invoice using default profile settings instead of website settings
  • Fixed #10301: Google website optimizer – script not installed correct
  • Fixed #9793: Magento 1.2.0 – Undefined variable – Admin

Update: Magento Version 1.1.8

Soeben wurde ein kleines Bugfix-Release veröffentlicht. Die Liste der Korrekturen ist relativ kurz:

  • Fixed #8684: js error on configurable product view page in blank theme
  • Fixed generating URL for googleoptimizer export controller
  • Fixed shipping tablerates for regions with the same code
  • Fixed product information on review page
  • Fixed #8720: CMS Blocks not recognized on Newsletter Templates
  • Fixed #8729: Security warning in IE in admin under https on category management page
  • Fixed #8743: Security warning in MSIE 6 on checkout page in modern theme
  • Fixed #8722: Google Base API – Store URL incorrect
  • Fixed #8753: Add Store Code to Urls to Yes breaking Google Base (due to duplicate admin/admin in path)
  • Fixed #8727: mismatches in role resources list
  • Fixed checkout as guest on single page checkout
  • Fixed #8890: Fatal error on shipping estimate if session expired
  • Fixed js error in Google API configuration section
  • Fixed #8719: Google Base API – make destination country selectable (USA,DE,GB,…)
  • Fixed #8731: Wrong country sent to Google Base
  • Fixed #8772: configurable products are not editable
  • Fixed editing custom options in Safari
  • Fixed #8889: Flash 9 unable to upload image on MAC

Leider müssen die eigenen Templates wieder angepasst werden, so dass wir von einem direkten Update des Produktiv-Shops dringend abraten! – Backup anlegen!!!

s. Magento Update – so wird gemacht!

EDIT: Das Update unseres Demo-Shops verlief problemlos.


Update: Magento Version 1.1.7

Wie vor einigen Tagen bereits angekündigt, wurde soeben eine neue Magento-Version freigegeben. – Neben 3 neuen Features wurden über 350 Bugs behoben.

  • Google Website Optimizer Integration
  • Google Base Integration
  • Option zur regelmäßigen Löschung der DB Logs

Leider müssen die eigenen Templates wieder angepasst werden, so dass wir von einem direkten Update des Produktiv-Shops dringend abraten! – Backup anlegen!!!

s. Magento Update – so wird gemacht!

EDIT: Das Update unseres Demo-Shops verlief problemlos.


Magento Themes bei TemplateMonster

Für alle die einen gut aussehenden Shop aufbauen möchten, derzeit aber noch nicht das Budget für einen eigenen Designer übrig haben, gibt es nun eine Lösung.

TemplateMonster.com gehört zu den größten Template Anbietern im Netz. Neben den bekannten universellen Templates bietet das Unternehmen jetzt auch Magento Templates (Themes) an. Derzeit gibt es leider noch nicht sehr viele, aber das wird sich in kurzer Zeit auf jeden Fall ändern.

Derzeit stehen 12 Templates zur Auswahl. Diese können gegen ein geringes Entgeld heruntergeladen und sofort installiert werden:

Neben diesen Templates erscheinen immer wieder neue Templates, die von der Magento-Community erstellt und angeboten werden: http://www.magentocommerce.com/magento-connect