Wichtiges Sicherheitsupdate 2020-09 für Shops von GX3 v3.0.0.0 - v4.1.3.0

Thema wurde von Wilken (Gambio), 29. September 2020 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.055
    Danke erhalten:
    6.460
    Danke vergeben:
    1.983
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0
    Security Update (2019-10) für Shops von GX3 v3.13.2.0 bis GX3 v3.14.1.0 und GX3 v3.15.1.0 - v3.15.1.1
    Security Update (2020-02) für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1

    Liebe Shopbetreiber,

    mit diesem Security-Update schließen wir Schwachstellen im Shop. Wir haben einen Security Audit durch externe Experten beauftragt, die sich durch die Codebasis gewühlt und dort etwas entdeckt haben, mit dem man einen Angriff konstruieren könnte. Solche Audits durch Dritte beauftragen wir immer wieder, um die Sicherheit aller bestmöglich zu gewährleisten. Die nun gewählten Experten haben einen recht neuen Ansatz benutzt, und damit Probleme aufgezeigt, um die wir uns nach Erhalt sofort gekümmert haben.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir gehen auch davon aus, dass nur wir die Problemstellungen kennen. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation.

    Von den Schwachstellen betroffen sind alle Shopversionen zwischen Version GX3 v3.0.0.0 bis einschließlich GX4 v4.1.3.0.

    Shopversion 4.2.0.0 und folgende sind bereits gepatched und müssen nicht upgedated werden.

    Nutzer der Gambiocloud müssen nichts unternehmen, die Shops wurden bereits von uns abgesichert.

    Ältere Shopversionen (wie GX2.x) wurden aufgrund des bereits seit langem geendeten Supports nicht mehr betrachtet.


    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Sicherheitsupdate steht über das Gambio Kundenportal und über folgenden Link zum Download bereit:

    Download Security Update 2020-09 für Shops von GX3 v3.0.0.0 - GX4 V4.1.3.0

    Wie immer bei Sicherheitsupdates ist der Download auch ohne aktives Supportkonto möglich, um möglichst vielen von euch zu ermöglichen eure Shops bestmöglich abzusichern.
     
  2. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    569
    Danke erhalten:
    41
    Danke vergeben:
    859
    In GX4.0.1.0 umgesetzt. Keine Probleme. Responsive Filemanager nicht vorhanden.
     
  3. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.055
    Danke erhalten:
    6.460
    Danke vergeben:
    1.983
    In neuen Shopversion ist der Pflicht für einige Dinge, keine Option mehr. Nur ums mal gesagt zu haben, ist aber ein anderes Thema.
     
  4. CITYJEWELS

    CITYJEWELS Erfahrener Benutzer

    Registriert seit:
    13. März 2015
    Beiträge:
    556
    Danke erhalten:
    128
    Danke vergeben:
    228
    Sicherheitsupdate installiert. Danke an Gambio, dass ihr auf dem Gebiet so aktiv seid.
     
  5. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    163
    Danke erhalten:
    101
    Danke vergeben:
    33
    Wahlweise
    PHP Warning: array_merge() expects at least 1 parameter, 0 given in GProtector/classes/GProtector.inc.php on line 93
    oder
    PHP Warning: array_merge(): Expected parameter 1 to be an array, string given

    Code:
    return array_merge(...$ipList);
     
  6. Moritz (Gambio)

    Moritz (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    5.140
    Danke erhalten:
    2.265
    Danke vergeben:
    738
    Deine PHP-Version ist kleiner 5.6, oder? Du solltest mindestens 5.6 nutzen.
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    3.919
    Danke erhalten:
    810
    Danke vergeben:
    713
    Update für 4.0.0.1 problemlos... Danke dass ihr Sicherheit so ernst nehmt.
     
  8. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    163
    Danke erhalten:
    101
    Danke vergeben:
    33
    Nee :) Das Problem tritt auf, wenn alle 3 $headersToCheck leer sind und ein leeres Array entpackt werden soll, sprich:
    Code:
    array_merge(...[])
    Das dürfte wohl nur bei CLI-Aufrufen der Fall sein. Ich kann das umschiffen, kein Problem, wollte es nur angemerkt haben, falls an anderer Stelle irgendwelche Exporte o.ä. auch via CLI stattfinden.
     
  9. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.055
    Danke erhalten:
    6.460
    Danke vergeben:
    1.983
    Ich hatte mich schon gefragt wie die alle 3 leer sein könnten...
     
  10. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.055
    Danke erhalten:
    6.460
    Danke vergeben:
    1.983
    Wir haben leider einen Bug im Paket festgestellt:

    In den Patchdateien für die Shopversionen GX3.15.4.2 - GX4.0.3.0 im Paket befindet sich eine Datei die nicht passt, das legt den Responsive Filemanager dort flach. Die Inhalte für andere Shopversionen sind nicht betroffen.

    Quick Fix für den Moment:
    Die Datei /ResponsiveFilemanager/filemanager/config/config.php aus der eigenen Version wieder herstellen.

    Wir bereiten eine Aktualisierung des Pakets vor, in der der Fehler behoben sein wird.
     
  11. becks

    becks Erfahrener Benutzer

    Registriert seit:
    14. Juni 2013
    Beiträge:
    211
    Danke erhalten:
    34
    Danke vergeben:
    38
    #11 becks, 2. Oktober 2020
    Zuletzt bearbeitet: 2. Oktober 2020
    Sorry verstehe ich nicht. Was muss ich wie machen?

    EDIT: Habe es selbst rausgefunden: Bei einer 4.0.3.0 muss aus der letzten Version die mit ResponsiveFilemanager ausgeliefert wurde die Datei entnommen werden, also in diesem Beispiel der 4.0.1.0.
     
  12. Kai Schoelzke

    Kai Schoelzke Beta-Held

    Registriert seit:
    30. März 2016
    Beiträge:
    3.391
    Danke erhalten:
    442
    Danke vergeben:
    151
    Gibt es denn bereits eine neue Version?
     
  13. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.055
    Danke erhalten:
    6.460
    Danke vergeben:
    1.983
    Nein, noch nicht. Wir sind dabei, aber das ist ein relativ aufwendiger Prozess.
     
  14. Garnelion

    Garnelion Erfahrener Benutzer

    Registriert seit:
    4. Oktober 2011
    Beiträge:
    51
    Danke erhalten:
    3
    Danke vergeben:
    16
    Welche Version sollte man für v3.10.0.3 installieren?
    Es gibt die 2 Ordner in der Zip-Datei:
    GX3.8.0.4 - GX3.9.3.1
    GX3.10.0.5 - GX3.10.2.0
    Danke
     
  15. Moritz (Gambio)

    Moritz (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    5.140
    Danke erhalten:
    2.265
    Danke vergeben:
    738
    Hallo,

    in diesem Fall ist GX3.10.0.5 - GX3.10.2.0 voll zur 3.10.0.3 kompatibel und die richtige Wahl.
     
  16. Alexander Hess

    Alexander Hess Erfahrener Benutzer

    Registriert seit:
    10. Juni 2011
    Beiträge:
    427
    Danke erhalten:
    67
    Danke vergeben:
    14
    Ich hatte auch das Problem, dass meine Version nicht auftauchte. Habe es gelöst, in dem ich auf 3.12 aktualisiert und dann erst das passende Fix hochgeladen habe.
     
  17. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    569
    Danke erhalten:
    41
    Danke vergeben:
    859
    #17 Günter M., 8. Oktober 2020
    Zuletzt bearbeitet: 8. Oktober 2020
    Der Bug wurde wenn ich es richtig verstehe am 06.10.2020 behoben?
    Ok, wer lesen kann ist klar im Vorteil :) Sorry für den Post. Steht ja ganz oben das alles in Ordnung gebracht wurde.
     
  18. M. Zitzmann

    M. Zitzmann Erfahrener Benutzer

    Registriert seit:
    3. März 2016
    Beiträge:
    218
    Danke erhalten:
    68
    Danke vergeben:
    15
    Ich habe hier aktuell zwei Kundenshops mit PHP 7.3.
    Bei beiden Shops ist es seit dem Einspielen des Updates nicht mehr möglich Bilder hochzuladen.
    Der responsive Filemanager sagt immer daß zu wenig Speicherplatz vorhanden sei.

    Einmal ist es die Version 3.14.4.2 einmal die 4.0.3.0
     
  19. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    31.373
    Danke erhalten:
    9.606
    Danke vergeben:
    1.421
  20. stefan_ulrich_1

    stefan_ulrich_1 Mitglied

    Registriert seit:
    14. Februar 2020
    Beiträge:
    7
    Danke erhalten:
    6
    Danke vergeben:
    4
    Ups...

    Ich habe (noch) 4.0.0.1 und das Sicherheitspaket ohne den Responsive Filemanager eingespielt, weil eben nicht vorhanden.

    Genügt es, das MU 4.2.0.0 komplett mit Filemanager einzuspielen?

    MfG

    Stefan U.