Wichtiges Sicherheitsupdate 2020-02 für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1

Thema wurde von Wilken (Gambio), 20. Februar 2020 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0
    Security Update (2019-10) für Shops von GX3 v3.13.2.0 bis GX3 v3.14.1.0 und GX3 v3.15.1.0 - v3.15.1.1

    Liebe Shopbetreiber,

    mit diesem Security-Update schließen wir eine Schwachstelle in einem vom Shop verwendeten, externen Plugin. Durch diese Schwachstelle konnte nicht mehr gänzlich ausgeschlossen werden, dass unbefugter Code in der Shopadministration zur Ausführung kommt. Wir bedanken uns ausdrücklich bei unserem Partner datablue für den Hinweis.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstelle in einem Shop, stufen die Sicherheitslücke aber als kritisch ein und haben darum sofort ein Update entwickelt.

    Von der Schwachstelle betroffen sind alle Shopversionen zwischen Version GX3 v3.7.1.0 bis einschließlich GX3 v3.14.4.1, sowie die Shopversionen 3.15.1.0 bis 3.15.4.1. Ältere Shopversionen sind nicht betroffen.

    Wir empfehlen allen Shopbetreibern das Security Update zeitnah zu installieren.

    Nutzer der Gambiocloud müssen nichts unternehmen, die Shops wurden bereits von uns abgesichert.

    Die 3 aktuellen Shopversionen v3.14.0.3, v3.14.4.2 sowie v3.15.4.2 sind ebenfalls bereits abgesichert und müssen nicht gepatched werden.

    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Sicherheitsupdate steht über das Gambio Kundenportal und über folgenden Link zum Download bereit:

    Download Security Update 2020-02 für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1

    Wie immer bei Sicherheitsupdates ist der Download auch ohne aktives Supportkonto möglich, um möglichst vielen von euch zu ermöglichen eure Shops bestmöglich abzusichern.
     
  2. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    13. Juni 2011
    Beiträge:
    695
    Danke erhalten:
    139
    Danke vergeben:
    138
    @Wilken (Gambio)
    ..dahinter versteckt sich Security Update 2019-10 V1.0 für GX3 v3.13.2.0-v3.14.1.0 sowie GX3 v3.15.1.0-3.15.1.1
     
  3. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Da war der Foreneditor wieder klüger als ich...

    Danke für den Hinweis, ist korrigiert.
     
  4. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.122
    Danke vergeben:
    947
    Wer den Filemanager nicht verwendet der braucht das nicht, oder?
     
  5. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Aktuelle Shops funktionieren nicht vollständig ohne den, also braucht man das immer.
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.122
    Danke vergeben:
    947
    Wir haben den Filemanager nicht in unserem 3.14 er. Dann brauchen wir das nicht oder?
     
  7. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    In diesem Fall ist das korrekt.
     
  8. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    20. Dezember 2011
    Beiträge:
    124
    Danke erhalten:
    10
    Danke vergeben:
    22
    Ist das korrekt, das Update besteht aus 2 kleinen Dateien, mehr nicht?
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.122
    Danke vergeben:
    947
    Eigentlich sogar nur aus einer. Die zweite ist nur die Versionierung zur Protokollierung deiner Shopversion und der installierten Updates und Patches
     
  10. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das ist richtig wiedergegeben.

    Securityfixes sind oftmals Einzeiler, wir verstecken aber, je nach Sachlage, als Angriffsabwehr oftmals etwas was wir tun. Das kann bedeuten wir ändern 99 Zeilen Code dazu und schieben ein paar Daten extra hin und her, um das Suchen des Problems nervig zu machen. Das hält Experten am Ende zwar auch von nichts ab, weil wir nunmal im Opensourceumfeld von immer lesbarem Quelltext sind, aber "Gelegenheitsdiebe" soll es graue Haare machen. Und es soll allen etwas mehr Zeit geben zu patchen.
     
  11. Anonymous

    Anonymous Aktives Mitglied

    Registriert seit:
    9. Juli 2018
    Beiträge:
    33
    Danke erhalten:
    0
    Danke vergeben:
    10
    Hallo, einfach drüber kopieren und fertig!? Oder muss etwas ausgeführt werden!?
     
  12. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Drüberkopieren und fertig.