Wichtiges Sicherheitsupdate 2019-10 für Shops von GX3 v3.13.2.0 - v3.14.1.0 und v3.15.1.0-3.15.1.1

Thema wurde von Wilken (Gambio), 28. Oktober 2019 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0

    Liebe Shopbetreiber,

    im Rahmen eines externen Security-Checks konnte eine Schwachstelle identifiziert werden, durch welche Dritte in der Lage sind unbefugt Daten zu erlangen. Das Problem wurden bei einer externen Prüfung entdeckt, bei der unsere Software gecheckt wurde.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstelle in einem Shop, stufen die Sicherheitslücke aber als kritisch ein und haben darum sofort ein Update entwickelt.

    Von der Schwachstelle betroffen sind alle Shopversionen zwischen Version GX3 v3.13.2.0 bis einschließlich GX3 v3.14.1.0, sowie die Shopversionen 3.15.1.0 und 3.15.1.1. Ältere Shopversionen sind nicht betroffen.

    Wir empfehlen allen Shopbetreibern das Security Update zeitnah zu installieren.

    Nutzer der Gambiocloud müssen nichts unternehmen, die Shops wurden von uns bereits abgesichert.

    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Die 3 aktuellen Shopversionen v3.14.0.2, v3.14.1.1 sowie v3.15.1.2 sind bereits abgesichert und müssen nicht gepatched werden.

    Das Sicherheitsupdate steht über das Gambio Kundenportal und über folgendem Link zum Download bereit:

    Download Security 2019-10 v1.0 für GX3 v3.13.2.0-v3.14.1.0 sowie v3.15.1.0 und v3.15.1.1

    Wie immer bei Sicherheitsupdates ist der Download auch ohne aktives Supportkonto möglich, um möglichst vielen von euch zu ermöglichen eure Shops bestmöglich abzusichern.
     
  2. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    18. Dezember 2014
    Beiträge:
    2.521
    Danke erhalten:
    806
    Danke vergeben:
    906
    Security Updates im Liveshop und beiden Testshops fehlerfrei durchgelaufen ;):cool::D
     
  3. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    Nur eine Frage:
    im MasterUpdate3.14.0. ist der Ordner GProtector in Shopsystem/Dateien, warum ist der hier extra?
     
  4. Senior

    Senior Erfahrener Benutzer

    Registriert seit:
    17. April 2013
    Beiträge:
    816
    Danke erhalten:
    178
    Danke vergeben:
    241
    Dieses Update ziehlt wohl nur auf den GProtector.
    Nehmen wir mal theoretisch an man nutzt GProtector nicht :) - kann man sich das dann sparen?
     
  5. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    Wenn Du die Version 3.14 hast, müsste der eigentlich im Shop sein.
     
  6. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Nein, denn das Problem steckt nicht im GProtector, wir benutzen den vielmehr um die Lücke zu schliessen.

    Wenn es ein Problem gibt, dann können wir auf mehrere Weisen damit umgehen. Es gibt einmal die Möglichkeit das Problem genau da zu beseitigen wo es auftritt. So machen wir es für neue Shopversionen. Die zweite Möglichkeit ist eine böse Anfrage schon früh zu erkennen, und gar nicht erst dahin zu lassen, wo es aus dem Ruder laufen könnte. Sowas macht der GProtector.

    Der GProtector ist also ein Tool, das eingehende Anfragen allesamt durchlaufen, und der auf Basis von Mustererkennung unerwünschte Anfragen vor dem erreichen des Shopkerns verwirft.

    Für ältere Shops patchen wir dann nicht den Shopkern, sondern die Mustererkennung. Das ist genauso effektiv, aber viel einfacher und für den Shopbetreiber mit viel weniger Risiken irgendwas zu zerbrechen zu implementieren, gerade wenn eigene Anpassungen im Shop stecken.

    Da das Muster auch in neue Shops übernommen wird, haben die dann sogar doppelten Schutz.

    Das Gegenteil:
    Hat man keinen GProtector, gibt es im älteren Shop keine Schutzwirkung. Den sollte man also immer im Shop haben, ohne Ausnahme.
     
  7. Senior

    Senior Erfahrener Benutzer

    Registriert seit:
    17. April 2013
    Beiträge:
    816
    Danke erhalten:
    178
    Danke vergeben:
    241
    Ich frage nochmal etwas ketzerisch: Mit einem 3.14.1.1 ohne GProtector hätte man nur einen einfachen Schutz?
     
  8. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.692
    Danke vergeben:
    903
    #8 Moritz (Gambio), 28. Oktober 2019
    Zuletzt bearbeitet: 28. Oktober 2019
    Hätte man einfacher halten können, stimmt. Aus alter Gewohnheit wie beim letzten Security Update gemacht.

    Der GProtector ist mittlerweile nicht mehr optional, sondern fester Bestandteil des Shops. Die Version 3.14.1.1 ist nur mit dem GProtector abgesichert.
     
  9. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    595
    Danke erhalten:
    50
    Danke vergeben:
    926
    Was ist denn eigentlicher sinniger,das Secupdate zu machen oder von 3.14.1.0 auf 1.1 zu gehen?
    Liesst sich doch so das es nur das Sicherheitsupdate ist was den Unterschied macht?
     
  10. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das ist richtig, beide Varianten führen zum Ziel.
     
  11. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    595
    Danke erhalten:
    50
    Danke vergeben:
    926
    Noch ne DAU frage, ich habe gerade von Euch einige Anpassungen in der 3.14.1.0 machen lassen . Um sicher zu gehen das ich da nichts zerschiesse; kann ich auch zuerst das Sec Update machen und danach noch auf 3.14.1.1 gehen oder ist das nicht möglich?
     
  12. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das Security Update ist für Leute, die ihren Shop selbst nicht updaten möchten. Spiel das ein, dann ist ausreichend Sicherheit gewährleistet. Es gibt dann auch keinen sonderlichen Grund das Update auf 3.14.1.1 zu machen, das würde ich mir dann kneifen. Eins reicht.
     
  13. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.755
    Danke erhalten:
    1.516
    Danke vergeben:
    1.051
    bei mir ist in diesem Update kein Ordner GProtector enthalten?!
     
  14. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    Du bist im Falaschen Update :)
    Das hier ist vom letzten Jahr, das hast Du bestimmt schon.
     
  15. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.755
    Danke erhalten:
    1.516
    Danke vergeben:
    1.051