Magento2の最新版である、2.0.10と2.1.2がリリースされました。
Magento2の各マイナーバージョンのメンテナンス期限は初回リリースから2年間と定められているため、2.0系は2017年11月。2.1系は2018年6月までそれぞれメンテナンスされる予定になっています。

さて、それぞれのリリースノートは以下のURLで公開されています。

どのような改修が行われたかをご紹介しましょう。

共通する内容

セキュリティに関する修正

今回のアップデートでは、以下の脆弱性の修正が行われています。

脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
APPSEC-1484 購入画面におけるリモートコード実行 リモートコード実行 9.8(緊急)  CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1480  ZendFrameworkにおけるSQLインジェクション SQLインジェクション 9.1(緊急)  CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2 
APPSEC-1503  メールテンプレートにおけるクロスサイト・スクリプティング XSS 8.7(高) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1488  管理画面を介した招待機能におけるクロスサイト・スクリプティング XSS 8.2(高) EE 2.0.10 / 2.1.2
APPSEC-1533 改変された商品価格による注文 入力値チェック不備 7.5(高) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2 
APPSEC-1270 ゲスト注文照会画面のプロテクションコード強度の不備 個人情報漏洩  7.5(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1539  セクション読み込みにおけるクロスサイト・スクリプティング XSS 7.2(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1433  顧客住所の意図しない削除 CSRF 6.5(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1388 フルページキャッシュの汚染 キャッシュ汚染 6.5(中) EE 2.0.10 / 2.1.2
APPSEC-1329 メンテナンスモードにおける情報漏えい 情報漏えい 5.3(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1490 不正なファイルの強制読み込み ローカルファイル読込  4.9(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1543 ログイン中の管理者の削除 CSRF/エスケープ不備 4.9(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1212 ミニカートにおける商品の削除 CSRF 4.3(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1478 ログアウト時のセッション情報削除不備 セッション管理不備  4.2(中) CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2
APPSEC-1481  権限のない管理者によるバックアップ作成 CSRF  4.1(低)  CE 2.0.10 / 2.1.2 
EE 2.0.10 / 2.1.2

対応データベースバージョンの変更

両バージョンともMySQL5.7に対応しました。

パフォーマンスの観点から、MySQL5.7は推奨されるとは思いますが、同居する他のアプリケーションとの関係や、MySQL5.7での仕様変更については注意が必要です。

APIの追加

以下の2種類のAPIが追加されました。

  • ShipOrder
  • InvoiceOrder

その他個別の修正内容

それぞれのリリースノートページに掲載されていますが、主に重要な不具合修正が多く、翻訳関係の不具合については改修されていない模様です。

また、既知の不具合もそれぞれ数件存在しているため注意が必要です。

アップグレードについて

2.0系、2.1系のそれぞれのマイナーバージョンアップについては比較的スムーズに行なえます。
2.0系から2.1系にアップデートする場合は、使用しているエクステンションの対応状況などをよく確認した上で行う必要があります。

Magento2は従来とは異なり、セキュリティパッチと言うかたちでのリリースは行われないことに注意してください。