Nach dem Patch-Update im Mai (SUPEE-5994) hat Magento vergangene Woche ein richtig großes Paket geliefert, das als dringend eingestuft wurde. Ausserdem gibt es eine neue Release 1.9.2.0, in der diese Sicherheitslücken ebenfalls beseitigt wurden.

Der Patch schliesst vor allem eine entscheidene Lücke in der Administration, die es Dritten ermöglicht auf den RSS-Feed der letzten Bestellungen zuzugreifen.
Damit einhergehend werden an vielen Stellen zusätzliche Sicherheitsabfragen integriert.
Ausserdem schliesst der Patch mehrere XSS- und CSRF-Lücken.

Alles in allem werden 55 (bis 1.7) bzw. 62 Files geändert bzw. hinzugefügt.

Der Patch steht in zwei Varianten zur Verfügung:
Einmal für die Magento-Versionen bis 1.7.x (PATCH_SUPEE-6285_CE_1.7.0.2_v1-2015-07-07-09-09-08.sh) und einmal für die 1.9er-Spange, wobei hier unbedingt die aktualisierte Version verwendet werden muss (PATCH_SUPEE-6285_CE_1.9.1.1_v2-2015-07-08-08-07-43.sh).

Sofern man die Version PATCH_SUPEE-6285_CE_1.9.1.1_v1-2015-07-07-09-03-34.sh eingespielt haben sollte, so kann man diese mit
./PATCH_SUPEE-6285_CE_1.9.1.1_v1-2015-07-07-09-03-34.sh -R
wieder zurück nehmen und dann entsprechend die „v2“ einspielen.

Wichtig bei diesen Patches:
Es geht auch um Template-Änderungen u.a. auch an checkout/cart.phtml. D.h. ein darauf basierendes Theme muss manuell geprüft und ggf. gepatched werden.

 

Die Release-Notes:
http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/patch-releases-2015.html