Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1

Thema wurde von Michael (Gambio), 6. September 2018 erstellt.

  1. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    181
    Danke erhalten:
    284
    Danke vergeben:
    42
    Liebe Shopbetreiber,

    es gibt heute ein vorsorgliches Sicherheitsupdate für eine ganze Reihe von Shopversionen, Ihr findet es im Downloadbereich des Kundenportals bei den Updates.

    Wichtig: Es handelt sich bei diesem Paket um eine aktualisierte Version des letzten Security Updates (Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.2), in dem nun noch weitere Sicherheitsverbesserungen enthalten sind. Jeder, der das Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.2 bereits installiert hat, sollte trotzdem also auch dieses Paket installieren, um alle bekannten Sicherheitslücken zu schließen.

    Das Sicherheitsupdate ist für alle GX2 Shopversionen von inklusive GX2 2.1.0.0 bis zum letzten 2.7.4.2, ausserdem für alle GX3 Shops in den Versionen GX3 3.0.0.0 bis inklusive 3.10.0.3.

    Die Sicherheitsverbesserungen sind im in Kürze erscheinenden Master Update 3.10.0.4 direkt enthalten. Diese neue Shopversion und zukünftige brauchen damit nicht gepatched zu werden.

    Auch wenn wir von keiner Ausnutzung der Schwachstellen wissen, empfehlen wir euch eure Shops umgehend upzudaten.


    Zur Erklärung:
    Wir bekamen vor kurzem eine Nachricht eines netten "White-Hat-Hackers", der uns auf einen möglichen Angriffsvektor im Shop hinwies. White-Hat-Hacker bedeutet dabei, dass jemand nichts gemeines mit seinem Wissen anstellt, sondern wenn er etwas findet die betroffenen Betreiber kontaktiert, und nett um Behebung der Schwachstelle bittet. Das landete also bei einem Shopbetreiber, der wiederum uns Bescheid gegeben hat. Da uns Sicherheit enorm wichtig ist, haben wir beschlossen die Sache sofort zu behandeln und zügig Abhilfe für alle zu liefern.

    Wir danken https://twitter.com/cyberanteater für die professionelle und angenehme Kooperation!

    Mit diesem Update stellen wir nun allen die Lösung bereit, so dass ihr eure Shops sichern könnt.

    Wir gehen davon aus, dass die Problematik bisher nur im kleinen Kreis (bei uns und dem Entdecker) bekannt ist, es gibt keine Attacken oder Ausnutzungen auf reale Shops von denen wir wissen.

    Der Patch selbst ist relativ einfach zu installieren, eine Installationsanleitung ist im Paket enthalten. Für diejenigen, die das dennoch nicht selber machen möchten, bieten wir die Installation als günstige Dienstleistung an. Ihr könnt den Service per Button im Portal bei uns buchen.

    Der Patch ist über unsere Systeme auch ohne ein aktives Kundenkonto downloadbar, wir möchten, dass jeder Gambio Shopbetreiber Zugang dazu hat.

    https://www.gambio.de/758jQ
     
  2. barbara

    barbara G-WARD 2014/15/16

    Registriert seit:
    14. August 2011
    Beiträge:
    23.260
    Danke erhalten:
    6.721
    Danke vergeben:
    1.112
    #2 barbara, 6. September 2018
    Zuletzt bearbeitet: 6. September 2018
    Müsste nicht die Updates 3.10.1. / 3.11.1. in Kürze kommen?

    Ich habe gerade gesehen, dass die Vorversion da ist :)
     
  3. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    12.576
    Danke erhalten:
    4.577
    Danke vergeben:
    1.466
    Das dauert noch ein paar Tage.
     
  4. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    13. Juni 2011
    Beiträge:
    511
    Danke erhalten:
    68
    Danke vergeben:
    93
    ..wurde das Update zurück gezogen? - finde es nicht mehr im Downloadbereich
     
  5. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    12.576
    Danke erhalten:
    4.577
    Danke vergeben:
    1.466
    Nö, ist normal da und wurde nicht zurückgezogen. Ich erkenne da gerade kein Problem. Kuckst nochmal?
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    13. Juni 2011
    Beiträge:
    511
    Danke erhalten:
    68
    Danke vergeben:
    93
    jetzt ist es wieder da :)
     
  7. barbara

    barbara G-WARD 2014/15/16

    Registriert seit:
    14. August 2011
    Beiträge:
    23.260
    Danke erhalten:
    6.721
    Danke vergeben:
    1.112
    Ihr solltest aber in den Downloads den Titel und die Versionen anpassen.
    Da steht nichts von 3.10.0.3

    Unbenannt.JPG

    Das hat mich auch erst mal verwirrt.
     
  8. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    12.576
    Danke erhalten:
    4.577
    Danke vergeben:
    1.466
    Danke! Schon erledigt :)
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    2. Dezember 2012
    Beiträge:
    448
    Danke erhalten:
    47
    Danke vergeben:
    178
    Im Handbuch steht:

    Laden Sie den gesamten Inhalt des Verzeichnisses Dateien aus dem Verzeichnis Shopsystem
    in das Hauptverzeichnis Ihres Shops auf Ihrem FTP-Server und überschreiben Sie die vorhandenen
    Dateien.

    Frage: Ist das Hauptverzeichnis "/" ?
     

    Anhänge:

  10. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    18. Dezember 2014
    Beiträge:
    2.014
    Danke erhalten:
    637
    Danke vergeben:
    707
    @Tosula,

    das Hauptverzeichnis liegt normal im html Ordner. Dort findest du die Ordner admin, cache, export, gambio_updater usw.
     
  11. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    7.663
    Danke erhalten:
    1.304
    Danke vergeben:
    741
    habe gerade dieses Update im Testshop gemacht und seitdem ist die Suche im Header weg.

    Caches alle geleert.

    Kann doch eigentlich gar nichts an diesem Update liegen, wenn ich mir die Dateien im Update so anschaue?!
     
  12. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    7.663
    Danke erhalten:
    1.304
    Danke vergeben:
    741
    habe die Sicherung wieder eingespielt und die Datei ausgewechselt; Fehler immer noch da, muss also was anderes sein.
     
  13. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    12.576
    Danke erhalten:
    4.577
    Danke vergeben:
    1.466
    Nee, da sollte nun wirklich kein Kontext sein. Da ist nichts drin, was auch nur in die Richtung ginge...
     
  14. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    505
    Danke erhalten:
    35
    Danke vergeben:
    706
    In 3.6.02 eingespielt .Alles gut :)
     
  15. lili_lei

    lili_lei Erfahrener Benutzer

    Registriert seit:
    26. November 2017
    Beiträge:
    63
    Danke erhalten:
    1
    Danke vergeben:
    20
    Hallo,
    gibt es eine Möglichkeit zu testen, ob das Update erfolgreich war? Also bis auf das Überprüfen aller Dateien bei FileZilla (o.ä.)..
     
  16. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    12.576
    Danke erhalten:
    4.577
    Danke vergeben:
    1.466
    Keine dir wir dokumentieren werden. Das wäre eine Bauzeichnung für die Ausnutzung von Schwachstellen. Würde jemand anders eine solche Anleitung abgeben, würden wir die auch mit Nachdruck versuchen aus der Welt räumen, um die Shopbetreiber zu schützen die noch nicht gepatched haben.
     
  17. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    2.597
    Danke erhalten:
    482
    Danke vergeben:
    174