Wichtiges Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

Thema wurde von Michael (Gambio), 24. Januar 2024 erstellt.

  1. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    235
    Danke erhalten:
    379
    Danke vergeben:
    51
    #1 Michael (Gambio), 24. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Liebe Shopbetreiber,

    wir haben soeben ein aktuelles Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern mit der oben genannten betroffenen Shopversionen dringend empfehlen.

    Wichtig: Nutzer der Gambio Cloud müssen nichts unternehmen, alle Shops wurden bereits vollständig von uns abgesichert.

    Folgende Security Issues werden von dem Security Update behoben:

    https://herolab.usd.de/security-advisories/usd-2023-0046/
    https://herolab.usd.de/security-advisories/usd-2023-0047/

    Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation.

    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Security Update steht im Gambio Store als Update bereit oder kann unter folgendem Link auch direkt heruntergeladen werden:

    Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

    Ein Login ins Kundenportal ist dafür nicht nötig.

    Edit: Es steht eine neue Version zur Verfügung. Wir empfehlen allen die neue Version zu installieren.
     
  2. Kai Stejuhn

    Kai Stejuhn Beta-Held

    Registriert seit:
    26. September 2014
    Beiträge:
    1.401
    Danke erhalten:
    707
    Danke vergeben:
    91
    Verstehe ich das richtig, das Security Update ist nur für die Shop-Version 4.9.2.0 gemacht und wird auch nur für diese Shop-Version benötigt. Bei einer Shop Version z. B. 4.8.x.x besteht diese Sicherheitslücke nicht?
     
  3. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    922
    Danke erhalten:
    796
    Danke vergeben:
    298
    So auf den ersten Blick: Die GXMainComponents/Controllers/HttpView/Shop/ParcelshopfinderController.inc.php hat sich seit vielen Versionen nicht geändert. Wenn das Problem nicht in Zusammenhang mit Änderungen in der Umgebung steht, sind ältere Versionen ebenfalls betroffen. Heißt aber auch, dass man zumindest diese Datei aus dem Patch auch in älteren Versionen installieren kann.

    Eine Antwort von @Michael (Gambio) oder @Till (Gambio) auf die Frage von @Kai Stejuhn würde ich aber auch interessieren :)
     
  4. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    235
    Danke erhalten:
    379
    Danke vergeben:
    51
    Auch ältere Shopversionen sind betroffen und ich habe hier das Thema und den Beitrag noch entsprechend angepasst:

    Das Security Update gilt für alle Shopversionen ab GX4 v4.6.0.1 bis v4.9.2.0
     
  5. Anonymous

    Anonymous Mitglied

    Registriert seit:
    10. Mai 2019
    Beiträge:
    8
    Danke erhalten:
    4
    Danke vergeben:
    3
    gibt es dafür auch einen Service für die Installation über das Kundenportal und/oder wird das Security Update direkt in das Update auf 4.9.2.0 integriert?
    Wollte die Tage auf die neueste Version updaten lassen
     
  6. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    270
    Danke erhalten:
    63
    Danke vergeben:
    79
    #6 ingo_scharp, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    ja gibt es, ist mit 49 € Kostenpflichtig

    Für das überschreiben von 2 Dateien. Datensicherung und Datenbanksicherung ist bei Gambio nicht mehr inclusive.
    Ich gehe das RISIKO ein und werde nur die 2 Dateien sichern und durch die neuen überschreiben.
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    15. Mai 2017
    Beiträge:
    681
    Danke erhalten:
    123
    Danke vergeben:
    173
    Sollte das nicht im Gambio Store zur Installation zur Verfügung stehen?
    Bei mir ist nichts zu sehen: 4.8.0.2 und 4.9.2.0 (Test)
     
  8. Totti-Amun

    Totti-Amun Erfahrener Benutzer

    Registriert seit:
    24. August 2011
    Beiträge:
    174
    Danke erhalten:
    5
    Danke vergeben:
    30
    Und es gibt kein Kulanzangebot für die Leute, die gerade mit Installationsservice auf 4.9.2.0 upgedatet haben?
    Ich meine, wenn man den schon bucht, wird man das technisch oder fachlich auch nötig gehabt haben.
    Um jetzt eine massive Sicherheitslücke zu haben...?...
    Gibt es hier nicht so was wie einen Anspruch auf Garantie, bzw. Zuverlässigkeit?
     
  9. PHI

    PHI Erfahrener Benutzer

    Registriert seit:
    23. März 2012
    Beiträge:
    388
    Danke erhalten:
    23
    Danke vergeben:
    131
    #9 PHI, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Guten Morgen, wir haben noch die Version 4.3.2.1 weil wir den Shop im Moment Fehlerfrei finden und uns nicht die neuen Templates installieren möchten. Gilt das Update für uns auch ? Was wäre eine Alternative ? Den Paketshopfinder löschen, deinstallieren ? Wir nutzen den nicht.

    Früher waren die Security-Updates für ziemlich viele Versionen.
     
  10. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    235
    Danke erhalten:
    379
    Danke vergeben:
    51
    Unter folgendem Link kannst du den Installationsservice buchen:

    https://www.gambio-support.de/downloads/request_install_service/3645400e-60c5-4e03-a40d-862222b2b99b

    Das Security Update ist nicht in der aktuellen Shopversion v4.9.2.0 integriert, sondern wird in der kommenden Version oder einer eventuellen Korrekturversion erst enthalten sein.

    Nein, das Security Update steht nicht im Gambio Store zur Verfügung und kann nur im Kundenportal unter dem Link heruntergeladen und installiert werden.

    Wenn jemand gerade einen Updateauftrag laufen hat werde ich dafür sorgen, dass wir das Security Update gleich kostenlos mit installieren aber rückwirkend machen wir dies nicht mehr, wenn ein Auftrag schon abgeschlossen wurde.

    Das Security Update steht nur für Shopversionen ab v4.6.0.1 zur Verfügung und nicht für ältere Shopversionen. Wir empfehlen daher mindestens auf diese Version zu aktualisieren, damit das Security Update installiert kann. Anleitungen für Workarounds werden wir nicht anbieten, sondern immer die Installation des aktuellen Security Updates empfehlen.
     
  11. PHI

    PHI Erfahrener Benutzer

    Registriert seit:
    23. März 2012
    Beiträge:
    388
    Danke erhalten:
    23
    Danke vergeben:
    131
    Guten Morgen, wir haben den DHL Paketshop nicht installiert. Das Wechseln von Template auf Honeygrid etc. zerschießt den ganzen Shop optisch.
     
  12. kai_holst

    kai_holst Erfahrener Benutzer

    Registriert seit:
    4. Mai 2022
    Beiträge:
    354
    Danke erhalten:
    132
    Danke vergeben:
    259
    #12 kai_holst, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Danke @Dominik Späte
    Das was eigentlich die Aufgabe von Gambio wäre, hast Du heute früh schon für Deine Kunden gemacht.
    Es sind nicht alle Gambio-Kunden im Forum aktiv oder passiv täglich dabei!

    Es kam eine Rundmail mit Hinweis auf die Sicherheitslücke und der Link zum Runterladen.
    Außerdem hast Du Deine kostenlose Modulverwaltung so angepasst, dass es damit jeder ganz einfach selbst installieren kann.

    DANKE!
     
  13. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    18. Juli 2019
    Beiträge:
    522
    Danke erhalten:
    100
    Danke vergeben:
    30
    Note: Upon discovery, our team immediately initiated the responsible disclosure process by contacting the vendor behind Gambio. Unfortunately, despite multiple attempts, our attempts to engage the vendor in resolving this issue have been met with silence.

    Timeline
    • 2023-12-08: First contact request via email.
    • 2023-12-21: Second contact request via email.
    • 2024-01-19: This advisory is published.

    Der Fehler war also schon am 8. Dezember bekannt. 2 Anfragen blieben unbeantwortet. Erst nach der Veröffentlichung reagierte Gambio. Nicht so cool.
     
  14. PHI

    PHI Erfahrener Benutzer

    Registriert seit:
    23. März 2012
    Beiträge:
    388
    Danke erhalten:
    23
    Danke vergeben:
    131
    Ich hab grad mal nach geschaut, die Datei sitzt wohl schon auf dem Server, ist jedoch im Admin nicht installiert. Ich bin jetzt auch nicht der Super-Programmer, aber ist es nicht besser solche Dateien auf externe Server auszulagern ? Weil die Datei-Leichen trägt man ja jahrelang mit rum.
     
  15. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    270
    Danke erhalten:
    63
    Danke vergeben:
    79
    #15 ingo_scharp, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Vielen Dank @Dominik Späte für den tollen Service. Hatte das Update schon drauf aber schön zu wissen, dass das Aufspielen von Patches nun viel einfacher geht.

    Für alle die noch nicht den Service vom Dominik nutzen:
    - es steht dort eine eigene Modulverwaltung zur Verfügung und mit der neusten Version können nun auch Patches sehr leicht eingespielt werden.
    Leben und Leben lassen. Denkt bitte daran, keiner kann von kostenlosen Service leben(die Modulverwaltung von @Dominik Späte ist Kostenlos)
     
  16. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    3. Juni 2019
    Beiträge:
    463
    Danke erhalten:
    78
    Danke vergeben:
    36
    Von mir auch besten Dank an @(Link nur für registrierte Nutzer sichtbar.) für deine E-Mail. :cool:
     
  17. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    235
    Danke erhalten:
    379
    Danke vergeben:
    51
    Genau aus diesem Grund habe ich gestern in allen Gambio Shops direkt im Dashboard des Adminbereichs eine entsprechende Nachricht samt Downloadlink dazu gepostet.

    Trotzdem natürlich auch vielen Dank an Dominik, dass er seine Kunden darüber informiert ;)
     
  18. kai_holst

    kai_holst Erfahrener Benutzer

    Registriert seit:
    4. Mai 2022
    Beiträge:
    354
    Danke erhalten:
    132
    Danke vergeben:
    259
    ... es gibt Leute die aber nicht täglich in das Gambio-System schauen, weil ihre WAWI alles macht....

    Eine Mail an alle Kunden sollte das dann regeln...
     
  19. Anonymous

    Anonymous Aktives Mitglied

    Registriert seit:
    7. November 2022
    Beiträge:
    42
    Danke erhalten:
    19
    Danke vergeben:
    22
    #19 Anonymous, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Ich bin der Meinung, man ist schon selbst dafür Verantwortlich, das man relevante Infos auch mitbekommt.
    Wie du das machst ist Deine Sache und nicht die von Gambio.
    Gambio ist dafür zuständig die nötigen Infos so zur Verfügung zu stellen, dass jeder die Möglichkeit hat diese zu erfahren.

    Bei der Gelegenheit würde ich Gambio anregen einen gesonderten Bereich im Backend (vielleicht über den Forenbeiträgen) einzurichten- mit sowas wie "Eilmeldungen" und das auch entsprechend hervor zu heben.
    Kostet nix, ist schnell gemacht und man sollte dann nichts mehr überlesen können.
     
  20. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    270
    Danke erhalten:
    63
    Danke vergeben:
    79
    #20 ingo_scharp, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Ich hatte heute morgen eine Rote 1 im Adminbereich in der Modulverwaltung stehen.
    Das ging sofort ins Auge.
    Anders als eine Mitteilung neben der Werbung von Afterbuy, die es seit Monaten gibt.

    Ursache der Roten 1
    - Update vom Werbe-Markt.de - Werbe-Markt.de Modulverwaltung

    Erstaunlich finde ich auch die unterschiedlichen Geschwindigkeiten. Einerseits bis das Patches, welches 2 von 5 gemeldeten Schwachstellen bereinigt, bereit steht und wie schnell eine Schnittstelle zur Installation von Patches bereitgestellt werden kann.