Wichtiges Sicherheitsupdate 2018-04 für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1

Thema wurde von Wilken (Gambio), 19. April 2018 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Liebe Shopbetreiber,

    im Rahmen eines externen Security-Checks konnte eine Schwachstelle identifiziert werden, durch welche Dritte in der Lage sind, unbefugt Daten zu erlangen. Die Lücke würden von externen Prüfern entdeckt, die unsere Software auditiert haben. Wir wissen von keiner aktiven Ausnutzung der Schwachstelle in einem Shop, stufen die Sicherheitslücke aber als kritisch ein und haben darum sofort ein Update entwickelt.

    Betroffen sind alle Shops ab Version v2.1.0.0 bis einschließlich v3.9.2.1.

    Wir empfehlen allen Shopbetreibern, das Security Update zeitnah zu installieren.

    Bitte versteht, dass wir keine Details zur Lücke beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Wir bedanken uns ausdrücklich bei Michael Schwarz (www.michael-schwarz.info) und Rene Ettling (www.eshop-source.com) für die Durchführung des Security-Checks und den Beitrag zur Verbesserung der Sicherheit von Gambio.

    Download Security Update GX2 und GX3 v2.1.0.0-v3.9.2.1 (2018-04)
     
  2. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    6. September 2011
    Beiträge:
    1.921
    Danke erhalten:
    456
    Danke vergeben:
    438
    Sicherheitsupdate im Live- und Testshop erfolgreich eingespielt. Bisher keine Aufflligkeiten.
    Testbestellung auch OK!
    Danke an die "Spürnasen"!
     
  3. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    22. März 2015
    Beiträge:
    2.381
    Danke erhalten:
    640
    Danke vergeben:
    414
    Update im Liveshop ohne Probleme.

    Vielen Dank
     
  4. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    1. September 2012
    Beiträge:
    2.422
    Danke erhalten:
    417
    Danke vergeben:
    157
    und was war das für ein "Fehler"? Was wurde behoben?
     
  5. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    22. März 2015
    Beiträge:
    2.381
    Danke erhalten:
    640
    Danke vergeben:
    414
    Hat doch Wilken geschrieben:

    Zitat Wilken: "Bitte versteht, dass wir keine Details zur Lücke beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten."

    Du kannst ja die Dateien vergleichen und dir deinen Reim machen habe ich auch gemacht :rolleyes:
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. April 2011
    Beiträge:
    993
    Danke erhalten:
    208
    Danke vergeben:
    100
    @Peru
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    1. September 2012
    Beiträge:
    2.422
    Danke erhalten:
    417
    Danke vergeben:
    157
    jaja, ist schon gut. Ich habe verglichen und mir meinen Reim draus gemacht. :cool:
     
  8. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    22. September 2011
    Beiträge:
    894
    Danke erhalten:
    84
    Danke vergeben:
    131
    Danke
    läuft problemlos nach Update. ( Vorher auch)
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.122
    Danke vergeben:
    947
    Keine Probleme nach Update. Danke an die Penetrationstester und an Gambio für die schnelle Reaktion
     
  10. Leder-Pflege.de

    Leder-Pflege.de Erfahrener Benutzer

    Registriert seit:
    24. Oktober 2014
    Beiträge:
    69
    Danke erhalten:
    7
    Danke vergeben:
    21
    Moin Wilken,

    kurze doofe Frage...

    mit dem Servicepack 3.9.1.2 ist das Sicherheitsupdate auch gleich "erschlagen" - also in dem Servicepack schon enthalten, oder?

    Viele Grüße
    Michael
     
  11. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    6. September 2011
    Beiträge:
    1.921
    Danke erhalten:
    456
    Danke vergeben:
    438
    Nee
     
  12. Leder-Pflege.de

    Leder-Pflege.de Erfahrener Benutzer

    Registriert seit:
    24. Oktober 2014
    Beiträge:
    69
    Danke erhalten:
    7
    Danke vergeben:
    21
    Moin Bernd,

    danke, wer lesen kann ist klar im Vorteil...ich hatte da wohl einen Zahlendreher im Hirn... natürlich ist 3.9.1.2 kleiner als 3.9.2.1 :(


    Viele Grüße
    Michael
     
  13. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    6. September 2011
    Beiträge:
    1.921
    Danke erhalten:
    456
    Danke vergeben:
    438
    73F35C89-39E9-4164-8FE1-C69792582C70.jpeg
     
  14. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Wir werden noch vor den nächsten regulären Updates Korrekturversionen veröffentlichen, die den Fix gleich enthalten, das haben wir heute entschieden. Es kommt also zum Beispiel ein 3.9.2.2. Entsprechende Pakete sind gebaut und im internen Test. Wenn keine unerwarteten Fehler auftreten, kommen die morgen.
     
  15. stefan_ulrich

    stefan_ulrich Erfahrener Benutzer

    Registriert seit:
    13. März 2016
    Beiträge:
    62
    Danke erhalten:
    10
    Danke vergeben:
    17
    SecUp ist drin, läuft.

    MfG

    Stefan Ulrich