Uns wurde heute eine Sicherheitslücke im Modul zur Anbindung der IT-Recht Kanzlei gemeldet. Über diese Lücke können Angreifer potenziell die von der IT-Recht Kanzlei bezogenenen Rechtstexte im Shop gegen beliebige andere austauschen. Wir haben das Modul aktualisiert und die neue Version soeben im Downloadbereich unseres Kundenportals abgelegt. Wir raten jedem Shopbetreiber, der die Anbindung für Rechtstexte zur IT-Recht Kanzlei verwendet, das Modul zu aktualisieren. Die notwendigen Änderungen stecken allein in der Datei api-it-recht-kanzlei.php im Hauptverzeichnis des Shopsystems. Onlineshopbetreiber, die eine bisherige Version verwenden, brauchen nur diese Datei gegen die neue zu ersetzen um die Lücke zu schliessen. Anschliessend sollte zur Sicherheit ein neues Token erzeugt werden und dieses im Portal der IT-Recht Kanzlei hinterlegt werden.
... und ICH habs entdeckt! Da bin ich stolz drauf! Barbara du musst auch noch den Cache komplett löschen - kann bei dir immer noch dran. Die itrecht-tmp.xml aus dem cache muss weg. Aber einen neuen Token hast du vermutlich ohnehin schon oder?
Sehr gut Lena, gute Leistung ! Ich hoffe du hast auch gesehen, das wir schnell reagiert haben... Nach dem Update wird die Datei eigentlich spätestens beim nächsten Abgleich mit dem Server automatisch gelöscht. Wenn das Token wie geschrieben ersetzt wird, ist aber sicher alles in Ordnung
Hallo Lena, ich habe das jetzt nochmal gemacht. Da ich gestern das SP 2.0.15.4 gemacht habe, hatte ich eigentlich die Cache eigentlich gelöscht. Aber offenbar klebte die so an der index.html, das ich sie übersehen habe Jetzt ist sie weg. Vielen Dank fürs testen.
Ich entnehme diesem Thread den (hoffentlich richtigen) Schluss, dass ich das Security Update für die IT-Rechtskanzlei nicht zu installieren brauche, wenn ich keine Rechttexte von der Kanzlei beziehe. Richtig?