All cases

Beveiligingsverbeteringen in Magento Open Source 2.4.7

Magento Open Source versie 2.4.7 introduceert ondersteuning voor PHP 8.3 en bevat honderden kwaliteitsverbeteringen, aangepaste attributen in GraphQL en compatibiliteit met diensten van FedEx en UPS.

Magento update 2.4.7
Magento update 2.4.7
Magento update 2.4.7

Beveiligingsverbeteringen

Deze release bevat dezelfde beveiligingsoplossingen en platformverbeteringen als Adobe Commerce 2.4.6-p5, 2.4.5-p7 en 2.4.4-p8. Hoewel er tot op heden geen bevestigde aanvallen zijn geweest, kunnen bepaalde kwetsbaarheden mogelijk worden misbruikt om toegang te krijgen tot klantinformatie of beheerderssessies over te nemen. De meeste van deze problemen vereisen dat een aanvaller eerst toegang krijgt tot de beheeromgeving. Daarom is het essentieel om uw beheeromgeving te beschermen door onder andere:

  • IP-whitelisting

  • Twee-factor-authenticatie

  • Gebruik van een VPN

  • Gebruik van een unieke locatie in plaats van /admin

  • Goede wachtwoordpraktijken

Aanvullende beveiligingsverbeteringen
  • Wijzigingen in cache-sleutels: Niet-gegenereerde cache-sleutels voor blokken bevatten nu voorvoegsels die verschillen van automatisch gegenereerde sleutels. Deze sleutels mogen nu alleen letters, cijfers, koppeltekens (-) en onderstrepingstekens (_) bevatten.

  • Beperking op automatisch gegenereerde kortingscodes: Er is nu een limiet van 250.000 op het aantal automatisch gegenereerde kortingscodes. Merchants kunnen deze limiet aanpassen via de nieuwe configuratieoptie ‘Code Quantity Limit’ (Winkels > Instellingen:Configuratie > Klanten > Promoties).

  • Optimalisatie van de standaard Admin URL-generatie: Het genereren van de standaard Admin URL is geoptimaliseerd voor verhoogde willekeur, waardoor deze minder voorspelbaar is.

  • Nieuwe configuratie-instelling voor volledige pagina-cache: Een nieuwe instelling helpt de risico’s te beperken die verbonden zijn aan het endpoint {BASE-URL}/page_cache/block/esi. De standaardwaarde is 100, maar merchants kunnen deze aanpassen via de Admin (Winkels > Instellingen:Configuratie > Systeem > Volledige pagina-cache > Handles params size).

  • Ondersteuning voor Subresource Integrity (SRI): Om te voldoen aan PCI 4.0-vereisten is SRI-ondersteuning toegevoegd voor alle JavaScript-bestanden op betalingspagina’s. Merchants kunnen deze configuratie uitbreiden naar andere pagina’s.

  • Wijzigingen in Content Security Policy (CSP): Er zijn updates en verbeteringen aangebracht in de CSP’s om te voldoen aan PCI 4.0-vereisten. De standaard CSP-configuratie voor betalingspagina’s is nu ‘restrict mode’. Voor alle andere pagina’s is de standaardconfiguratie ‘report-only mode’.

  • Rate limiting voor betalingsinformatie via REST en GraphQL API’s: Merchants kunnen nu rate limiting configureren voor betalingsinformatie die wordt verzonden via REST en GraphQL, wat helpt bij het voorkomen van ‘carding’-aanvallen.

  • Wijziging in het gedrag van de isEmailAvailable API: Standaard retourneert deze API nu altijd ‘true’. Merchants kunnen het oorspronkelijke gedrag inschakelen door de optie ‘Enable Guest Checkout Login’ in de Admin op ‘ja’ te zetten, maar dit kan klantinformatie blootstellen aan niet-geauthenticeerde gebruikers.


Platformverbeteringen
  • Compatibiliteit met PHP 8.3: Deze release introduceert ondersteuning voor PHP 8.3. Magento Open Source ondersteunt nu zowel PHP 8.3 als 8.2. PHP 8.2 wordt ondersteund tot december 2025. Na deze datum wordt migratie naar PHP 8.3 aanbevolen.

  • Ondersteuning voor RabbitMQ 3.13: Deze release is compatibel met RabbitMQ 3.13. Hoewel compatibiliteit met RabbitMQ 3.11 en 3.12 behouden blijft, wordt het gebruik van versie 3.13 aanbevolen.

  • Compatibiliteit met Composer 2.7.x: Compatibiliteit met Composer 2.2.x blijft behouden.

  • Ondersteuning voor Varnish Cache 7.4: Deze release is compatibel met Varnish Cache 7.4. Hoewel compatibiliteit met versies 6.0.x en 7.2.x behouden blijft, wordt het gebruik van versie 7.4 of versie 6.0 LTS aanbevolen.

  • Compatibiliteit met Elasticsearch 8.11 en OpenSearch 2.12 en 1.3: Deze release ondersteunt deze versies.

  • Ondersteuning voor Redis 7.2: Deze release is compatibel met Redis 7.2.

  • Vervanging van extjs door jsTree: De extjs-bibliotheek is vervangen door de nieuwste versie van jsTree.

  • Verwijdering van jquery/fileUpload-bibliotheek: Deze bibliotheek is verwijderd.

  • Bijwerking van JavaScript-bibliotheken en NPM-afhankelijkheden: Alle JavaScript-bibliotheken en NPM-afhankelijkheden in de kerncode van Magento Open Source zijn bijgewerkt naar de nieuwste beschikbare versies.

  • Bijwerking van Laminas-bibliotheekafhankelijkheden: Alle Laminas-bibliotheekafhankelijkheden zijn bijgewerkt naar de nieuwste versies die compatibel zijn met PHP 8.3.

Bekijk alle release notes op magento.com

Written by

Mike
Mike

Mike

on

Nov 26, 2024

We have done this before

More news.

Web Content Accessibility Guidelines (WCAG)
Maarten

/

Nov 21, 2024

Wat betekenen de Web Content Accessibility Guidelines (WCAG) voor jouw bedrijf?

Medio 2025 moeten alle online winkels toegankelijk zijn volgens de Europese toegankelijkheidswet (EAA). Dit is meer dan alleen een wettelijke verplichting. Lees er meer overin ons blog.

General

Security

Web Content Accessibility Guidelines (WCAG)
Maarten

/

Nov 21, 2024

Wat betekenen de Web Content Accessibility Guidelines (WCAG) voor jouw bedrijf?

Medio 2025 moeten alle online winkels toegankelijk zijn volgens de Europese toegankelijkheidswet (EAA). Dit is meer dan alleen een wettelijke verplichting. Lees er meer overin ons blog.

General

Security

Web Content Accessibility Guidelines (WCAG)
Maarten

/

Nov 21, 2024

Wat betekenen de Web Content Accessibility Guidelines (WCAG) voor jouw bedrijf?

Medio 2025 moeten alle online winkels toegankelijk zijn volgens de Europese toegankelijkheidswet (EAA). Dit is meer dan alleen een wettelijke verplichting. Lees er meer overin ons blog.

General

Security

Web Content Accessibility Guidelines (WCAG)
Maarten

/

Nov 21, 2024

Wat betekenen de Web Content Accessibility Guidelines (WCAG) voor jouw bedrijf?

Medio 2025 moeten alle online winkels toegankelijk zijn volgens de Europese toegankelijkheidswet (EAA). Dit is meer dan alleen een wettelijke verplichting. Lees er meer overin ons blog.

General

Security

Maarten

/

Nov 7, 2024

Hyvä Commerce: een krachtige eCommerce-suite

Op Meet Magento Nederland heeft Hyvä zijn uitbreidingsplannen bekendgemaakt. Met de steun van Mollie wil Hyvä zijn groei versnellen en een aanvullende productlijn bouwen bovenop Magento Open Source.

Magento

Hyvä

Mage-OS

Maarten

/

Nov 7, 2024

Hyvä Commerce: een krachtige eCommerce-suite

Op Meet Magento Nederland heeft Hyvä zijn uitbreidingsplannen bekendgemaakt. Met de steun van Mollie wil Hyvä zijn groei versnellen en een aanvullende productlijn bouwen bovenop Magento Open Source.

Magento

Hyvä

Mage-OS

Maarten

/

Nov 7, 2024

Hyvä Commerce: een krachtige eCommerce-suite

Op Meet Magento Nederland heeft Hyvä zijn uitbreidingsplannen bekendgemaakt. Met de steun van Mollie wil Hyvä zijn groei versnellen en een aanvullende productlijn bouwen bovenop Magento Open Source.

Magento

Hyvä

Mage-OS

Maarten

/

Nov 7, 2024

Hyvä Commerce: een krachtige eCommerce-suite

Op Meet Magento Nederland heeft Hyvä zijn uitbreidingsplannen bekendgemaakt. Met de steun van Mollie wil Hyvä zijn groei versnellen en een aanvullende productlijn bouwen bovenop Magento Open Source.

Magento

Hyvä

Mage-OS