Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1

Thema wurde von Michael (Gambio), 6. September 2018 erstellt.

  1. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    236
    Danke erhalten:
    379
    Danke vergeben:
    51
    Liebe Shopbetreiber,

    es gibt heute ein vorsorgliches Sicherheitsupdate für eine ganze Reihe von Shopversionen, Ihr findet es im Downloadbereich des Kundenportals bei den Updates.

    Wichtig: Es handelt sich bei diesem Paket um eine aktualisierte Version des letzten Security Updates (Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.2), in dem nun noch weitere Sicherheitsverbesserungen enthalten sind. Jeder, der das Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.2 bereits installiert hat, sollte trotzdem also auch dieses Paket installieren, um alle bekannten Sicherheitslücken zu schließen.

    Das Sicherheitsupdate ist für alle GX2 Shopversionen von inklusive GX2 2.1.0.0 bis zum letzten 2.7.4.2, ausserdem für alle GX3 Shops in den Versionen GX3 3.0.0.0 bis inklusive 3.10.0.3.

    Die Sicherheitsverbesserungen sind im in Kürze erscheinenden Master Update 3.10.0.4 direkt enthalten. Diese neue Shopversion und zukünftige brauchen damit nicht gepatched zu werden.

    Auch wenn wir von keiner Ausnutzung der Schwachstellen wissen, empfehlen wir euch eure Shops umgehend upzudaten.


    Zur Erklärung:
    Wir bekamen vor kurzem eine Nachricht eines netten "White-Hat-Hackers", der uns auf einen möglichen Angriffsvektor im Shop hinwies. White-Hat-Hacker bedeutet dabei, dass jemand nichts gemeines mit seinem Wissen anstellt, sondern wenn er etwas findet die betroffenen Betreiber kontaktiert, und nett um Behebung der Schwachstelle bittet. Das landete also bei einem Shopbetreiber, der wiederum uns Bescheid gegeben hat. Da uns Sicherheit enorm wichtig ist, haben wir beschlossen die Sache sofort zu behandeln und zügig Abhilfe für alle zu liefern.

    Wir danken https://twitter.com/cyberanteater für die professionelle und angenehme Kooperation!

    Mit diesem Update stellen wir nun allen die Lösung bereit, so dass ihr eure Shops sichern könnt.

    Wir gehen davon aus, dass die Problematik bisher nur im kleinen Kreis (bei uns und dem Entdecker) bekannt ist, es gibt keine Attacken oder Ausnutzungen auf reale Shops von denen wir wissen.

    Der Patch selbst ist relativ einfach zu installieren, eine Installationsanleitung ist im Paket enthalten. Für diejenigen, die das dennoch nicht selber machen möchten, bieten wir die Installation als günstige Dienstleistung an. Ihr könnt den Service per Button im Portal bei uns buchen.

    Der Patch ist über unsere Systeme auch ohne ein aktives Kundenkonto downloadbar, wir möchten, dass jeder Gambio Shopbetreiber Zugang dazu hat.

    https://www.gambio.de/758jQ
     
  2. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    #2 barbara, 6. September 2018
    Zuletzt bearbeitet: 6. September 2018
    Müsste nicht die Updates 3.10.1. / 3.11.1. in Kürze kommen?

    Ich habe gerade gesehen, dass die Vorversion da ist :)
     
  3. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das dauert noch ein paar Tage.
     
  4. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    13. Juni 2011
    Beiträge:
    695
    Danke erhalten:
    139
    Danke vergeben:
    138
    ..wurde das Update zurück gezogen? - finde es nicht mehr im Downloadbereich
     
  5. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Nö, ist normal da und wurde nicht zurückgezogen. Ich erkenne da gerade kein Problem. Kuckst nochmal?
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    13. Juni 2011
    Beiträge:
    695
    Danke erhalten:
    139
    Danke vergeben:
    138
    jetzt ist es wieder da :)
     
  7. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    Ihr solltest aber in den Downloads den Titel und die Versionen anpassen.
    Da steht nichts von 3.10.0.3

    Unbenannt.JPG

    Das hat mich auch erst mal verwirrt.
     
  8. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Danke! Schon erledigt :)
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    2. Dezember 2012
    Beiträge:
    598
    Danke erhalten:
    69
    Danke vergeben:
    243
    Im Handbuch steht:

    Laden Sie den gesamten Inhalt des Verzeichnisses Dateien aus dem Verzeichnis Shopsystem
    in das Hauptverzeichnis Ihres Shops auf Ihrem FTP-Server und überschreiben Sie die vorhandenen
    Dateien.

    Frage: Ist das Hauptverzeichnis "/" ?
     

    Anhänge:

  10. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    18. Dezember 2014
    Beiträge:
    2.521
    Danke erhalten:
    806
    Danke vergeben:
    906
    @Tosula,

    das Hauptverzeichnis liegt normal im html Ordner. Dort findest du die Ordner admin, cache, export, gambio_updater usw.
     
  11. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.755
    Danke erhalten:
    1.516
    Danke vergeben:
    1.051
    habe gerade dieses Update im Testshop gemacht und seitdem ist die Suche im Header weg.

    Caches alle geleert.

    Kann doch eigentlich gar nichts an diesem Update liegen, wenn ich mir die Dateien im Update so anschaue?!
     
  12. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.755
    Danke erhalten:
    1.516
    Danke vergeben:
    1.051
    habe die Sicherung wieder eingespielt und die Datei ausgewechselt; Fehler immer noch da, muss also was anderes sein.
     
  13. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Nee, da sollte nun wirklich kein Kontext sein. Da ist nichts drin, was auch nur in die Richtung ginge...
     
  14. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    595
    Danke erhalten:
    50
    Danke vergeben:
    926
    In 3.6.02 eingespielt .Alles gut :)
     
  15. lili_lei

    lili_lei Erfahrener Benutzer

    Registriert seit:
    26. November 2017
    Beiträge:
    63
    Danke erhalten:
    1
    Danke vergeben:
    20
    Hallo,
    gibt es eine Möglichkeit zu testen, ob das Update erfolgreich war? Also bis auf das Überprüfen aller Dateien bei FileZilla (o.ä.)..
     
  16. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Keine dir wir dokumentieren werden. Das wäre eine Bauzeichnung für die Ausnutzung von Schwachstellen. Würde jemand anders eine solche Anleitung abgeben, würden wir die auch mit Nachdruck versuchen aus der Welt räumen, um die Shopbetreiber zu schützen die noch nicht gepatched haben.
     
  17. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.675
    Danke erhalten:
    878
    Danke vergeben:
    288