Wichtiges Sicherheitsupdate 2022-03 V1.0 für Shops von v3.13.1.0-v4.4.0.4 sowie v4.5.1.0-v.4.5.1.2

Thema wurde von Wilken (Gambio), 3. März 2022 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    #1 Wilken (Gambio), 3. März 2022
    Zuletzt bearbeitet: 4. März 2022
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0
    Security Update (2019-10) für Shops von GX3 v3.13.2.0 bis GX3 v3.14.1.0 und GX3 v3.15.1.0 - v3.15.1.1
    Security Update (2020-02) für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1
    Wichtiges Sicherheitsupdate 2020-09 V1.1 für Shops von GX3 v3.0.0.0 - v4.1.3.0
    Wichtiges Sicherheitsupdate 2022-01 V1.0 für Shops von v3.11.1.0-v4.4.0.3 sowie v4.5.1.0-v.4.5.1.1

    Liebe Shopbetreiber,

    wir haben soeben ein aktuelles Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern mit den oben genannten betroffenen Shopversionen dringend empfehlen.

    Letzte Woche erreichte uns ein Hinweis eines Shopbetreibers, der bei einem dortigen Audit entdeckte Schwachstellen im Shop gemeldet hat. WIr bedanken uns an dieser Stelle auch bei GK Software für die professionelle Weitergabe der Informationen an uns.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir gehen auch davon aus, dass neben uns und dem Absender-Shopbetreiber nur wenige weitere die Problemstellungen kennen. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation.

    Von den Schwachstellen betroffen sind alle Shopversionen zwischen Version GX3 v3.13.1.0 bis einschließlich GX4 v4.4.0.4 sowie GX4 v4.5.1.0 - GX4 v4.5.1.2

    Die neuen Shopversion v4.4.0.5 sowie v4.5.2.0 und folgende sind bereits gepatched und müssen folglich nicht upgedated werden.

    Nutzer der Gambiocloud müssen nichts unternehmen, alle Shops wurden bereits vollständig von uns abgesichert.

    Ältere Shopversionen als GX3.13.1.0 sollten nicht betroffen sein, wurden allerdings auch aufgrund des allgemeinen Supportendes für diese Versionen nicht mehr tiefengeprüft.


    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Sicherheitsupdate steht in allen selfhosted Shops ab GX3.13 über den Gambio Store bereit und kann von dort per Mausklick installiert werden. Für alle Shopversion ab GX3.13 ist dies, aufgrund der Einfachheit, der empfohlene Bezugsweg.

    Da alle betroffenen Shopversionen mit dem Gambio Store ausgestattet sind, und für einen bezug kein Supportkonto nötig ist, verzichten wir diesmal auf einen direkten Download. Sollte das Probleme bereiten, bitten wir um Meldung an uns.

    Für Fragen oder Feedback stehen wir hier gerne bereit, also einfach hier schreiben.

    Nachtrag:

    Das Security Update ist unter folgendem Link nun auch zum direkten Download verfügbar:
    Sicherheitsupdate 2022-03 V1.0 für Shops von v3.13.1.0-v4.4.0.4 sowie v4.5.1.0-v.4.5.1.2

    Ein Login ins Kundenportal ist dafür nicht nötig.
     
  2. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.122
    Danke vergeben:
    947
    Ich kann das Update leider nicht installieren: Wenn ich das aus dem Store geladen habe und den Updater starte, will der Shop auch noch zusätzlich das Update auf 4.4.0.2 machen, das ich aber schon längst habe. Ich möchte das nicht nochmal machen, weil ich Sorge habe, damit was zu überschreiben. Kann ich das Security Update auch so separat bekommen und installieren?
     
  3. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das liegt dann nicht am Security Update, sondern daran, dass du da andere Leichen hast. Ziemlich sicher ist in deiner Datenbank der Versionsstempel dann abweichend, was die Frage aufwirft was da vielleicht am Schema ausserdem noch nicht stimmt...

    Ticket machen.

    Im Moment liegt das nicht einzeln als Paket vor, bei ausreichender Begründung schieben wir das aber nach. Und du müsstest auch damit durch den Updater, gibt dann dasselbe Theater.
     
  4. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    10. Januar 2019
    Beiträge:
    59
    Danke erhalten:
    7
    Danke vergeben:
    46
    Hat geklappt!
    Es kam die Anzeige,dass drei veraltete Dateien gelöscht werden. Danach konnte das Update durchlaufen.

    Shop Version 4.4.0.3.0
     
  5. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das entspricht dem normalen Ablauf, keine Sorge.

    Prima!
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    10. Januar 2019
    Beiträge:
    59
    Danke erhalten:
    7
    Danke vergeben:
    46
    War kurz irritiert, da das beim letzten Security Update nicht kam. :)
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    1. September 2012
    Beiträge:
    2.422
    Danke erhalten:
    417
    Danke vergeben:
    157
    Ich habe 4.4.0.4 aber in Store kein Securityupdate, nur Consent und Template.
    upload_2022-3-3_21-9-33.png

    was tun?
     
  8. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    10. Januar 2019
    Beiträge:
    59
    Danke erhalten:
    7
    Danke vergeben:
    46
    versteckt sich hier:
     

    Anhänge:

  9. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Ich glaub du schaust im Reiter Installierte Module. Dort findest du Updates, für Sachen die bereits installiert sind. Du musst stattdessen auf dem ersten Reiter auf "Modules" klicken.
     
  10. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    1. September 2012
    Beiträge:
    2.422
    Danke erhalten:
    417
    Danke vergeben:
    157
    aah, danke!
     
  11. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.122
    Danke vergeben:
    947
    Ticket 101322661
     
  12. maria_steiger

    maria_steiger Erfahrener Benutzer

    Registriert seit:
    3. September 2021
    Beiträge:
    49
    Danke erhalten:
    3
    Danke vergeben:
    19
    Ich habe "installieren" geklickt, die Installation läuft laut Anzeige 100% durch, Aber das Feld Kompatibel wechselt nicht zu Installiert.
    Screenshot 2022-03-03 at 21-50-34 Gambio Store - Gambio Admin.png
     
  13. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Wenn der Download zu 100% abgeschlossen ist, solltest du danach automatisch in den Gambio Updater umgeleitet werden. Hast du dem mal etwas angetan, wie zum Beispiel den zu löschen? Falls das so ist, wäre das ein Grund für einen Fehlschlag, das darf man nicht.

    Nachtrag: Ruf den sonst auch mal von Hand auf: www.deinedomain.de/gambio_updater und schau was der dir nach Login präsentiert.

    Wenn du nicht weiterkommst mach sonst ein Ticket auf.
     
  14. maria_steiger

    maria_steiger Erfahrener Benutzer

    Registriert seit:
    3. September 2021
    Beiträge:
    49
    Danke erhalten:
    3
    Danke vergeben:
    19
    Auch hier ist das Update durchgelaufen. Es kam die Fehlermeldung, dass die Caches nicht automatisch geleert werden konnten. Ich habe den für die Seitenausgabe und Modulinformationen gelöscht.
    Die Anzeige hat sich nicht verändert. Mein Shop sieht die erfolgte Installation nicht.
     
  15. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Irgendwelches wilde serverseitige Caching? Cloudflare?

    Wie gesagt, wenn es nicht weitergeht: Ticket machen, dann wird geschaut werden.
     
  16. maria_steiger

    maria_steiger Erfahrener Benutzer

    Registriert seit:
    3. September 2021
    Beiträge:
    49
    Danke erhalten:
    3
    Danke vergeben:
    19
    Ticketnummer 101322687
     
  17. Walter Lenk

    Walter Lenk Erfahrener Benutzer

    Registriert seit:
    28. September 2011
    Beiträge:
    488
    Danke erhalten:
    210
    Danke vergeben:
    81
    Erst einmal danke für das Sicherheitsupdate. Wir prüfen bei der Integration von jeglichen Updates, auch Sicherheitsupdates, immer ob vom Update evtl. angepasste oder überladene Dateien / Klassen / Methoden betroffen sind. Mit der jetzigen zur Verfügungsstellung über den Store ist das nicht so einfach möglich - richtig?

    Wäre es nicht möglich das Sicherheitsupdate wie alle anderen bisherigen Updates per Download zur Verfügung zu stellen?

    Grüße
    Walter
     
  18. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Gutes Argument, wird diskutiert.
     
  19. Walter Lenk

    Walter Lenk Erfahrener Benutzer

    Registriert seit:
    28. September 2011
    Beiträge:
    488
    Danke erhalten:
    210
    Danke vergeben:
    81
    Super, danke. Weiteres Argument bei uns, wir haben alle unsere Kundenprojekte im GIT. Auch da wäre es einfacher die geänderten, ergänzten und gelöschen Dateien wären klar greifbar. Dann müssten wir keinen Sync mit dem FTP-Stand machen.
     
  20. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Ist entschieden, kommt kurzfristig.