Wichtiges Sicherheitsupdate 2020-09 für Shops von GX3 v3.0.0.0 - v4.1.3.0

Thema wurde von Wilken (Gambio), 29. September 2020 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.849
    Danke erhalten:
    6.795
    Danke vergeben:
    2.060
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0
    Security Update (2019-10) für Shops von GX3 v3.13.2.0 bis GX3 v3.14.1.0 und GX3 v3.15.1.0 - v3.15.1.1
    Security Update (2020-02) für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1

    Liebe Shopbetreiber,

    mit diesem Security-Update schließen wir Schwachstellen im Shop. Wir haben einen Security Audit durch externe Experten beauftragt, die sich durch die Codebasis gewühlt und dort etwas entdeckt haben, mit dem man einen Angriff konstruieren könnte. Solche Audits durch Dritte beauftragen wir immer wieder, um die Sicherheit aller bestmöglich zu gewährleisten. Die nun gewählten Experten haben einen recht neuen Ansatz benutzt, und damit Probleme aufgezeigt, um die wir uns nach Erhalt sofort gekümmert haben.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir gehen auch davon aus, dass nur wir die Problemstellungen kennen. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation.

    Von den Schwachstellen betroffen sind alle Shopversionen zwischen Version GX3 v3.0.0.0 bis einschließlich GX4 v4.1.3.0.

    Shopversion 4.2.0.0 und folgende sind bereits gepatched und müssen nicht upgedated werden.

    Nutzer der Gambiocloud müssen nichts unternehmen, die Shops wurden bereits von uns abgesichert.

    Ältere Shopversionen (wie GX2.x) wurden aufgrund des bereits seit langem geendeten Supports nicht mehr betrachtet.


    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Sicherheitsupdate steht über das Gambio Kundenportal und über folgenden Link zum Download bereit:

    Download Security Update 2020-09 für Shops von GX3 v3.0.0.0 - GX4 V4.1.3.0

    Wie immer bei Sicherheitsupdates ist der Download auch ohne aktives Supportkonto möglich, um möglichst vielen von euch zu ermöglichen eure Shops bestmöglich abzusichern.
     
  2. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    579
    Danke erhalten:
    41
    Danke vergeben:
    883
    In GX4.0.1.0 umgesetzt. Keine Probleme. Responsive Filemanager nicht vorhanden.
     
  3. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.849
    Danke erhalten:
    6.795
    Danke vergeben:
    2.060
    In neuen Shopversion ist der Pflicht für einige Dinge, keine Option mehr. Nur ums mal gesagt zu haben, ist aber ein anderes Thema.
     
  4. CITYJEWELS

    CITYJEWELS Erfahrener Benutzer

    Registriert seit:
    13. März 2015
    Beiträge:
    636
    Danke erhalten:
    146
    Danke vergeben:
    258
    Sicherheitsupdate installiert. Danke an Gambio, dass ihr auf dem Gebiet so aktiv seid.
     
  5. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    317
    Danke erhalten:
    249
    Danke vergeben:
    92
    Wahlweise
    PHP Warning: array_merge() expects at least 1 parameter, 0 given in GProtector/classes/GProtector.inc.php on line 93
    oder
    PHP Warning: array_merge(): Expected parameter 1 to be an array, string given

    Code:
    return array_merge(...$ipList);
     
  6. Moritz (Gambio)

    Moritz (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    5.394
    Danke erhalten:
    2.431
    Danke vergeben:
    783
    Deine PHP-Version ist kleiner 5.6, oder? Du solltest mindestens 5.6 nutzen.
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.604
    Danke erhalten:
    1.011
    Danke vergeben:
    882
    Update für 4.0.0.1 problemlos... Danke dass ihr Sicherheit so ernst nehmt.
     
  8. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    317
    Danke erhalten:
    249
    Danke vergeben:
    92
    Nee :) Das Problem tritt auf, wenn alle 3 $headersToCheck leer sind und ein leeres Array entpackt werden soll, sprich:
    Code:
    array_merge(...[])
    Das dürfte wohl nur bei CLI-Aufrufen der Fall sein. Ich kann das umschiffen, kein Problem, wollte es nur angemerkt haben, falls an anderer Stelle irgendwelche Exporte o.ä. auch via CLI stattfinden.
     
  9. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.849
    Danke erhalten:
    6.795
    Danke vergeben:
    2.060
    Ich hatte mich schon gefragt wie die alle 3 leer sein könnten...
     
  10. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.849
    Danke erhalten:
    6.795
    Danke vergeben:
    2.060
    Wir haben leider einen Bug im Paket festgestellt:

    In den Patchdateien für die Shopversionen GX3.15.4.2 - GX4.0.3.0 im Paket befindet sich eine Datei die nicht passt, das legt den Responsive Filemanager dort flach. Die Inhalte für andere Shopversionen sind nicht betroffen.

    Quick Fix für den Moment:
    Die Datei /ResponsiveFilemanager/filemanager/config/config.php aus der eigenen Version wieder herstellen.

    Wir bereiten eine Aktualisierung des Pakets vor, in der der Fehler behoben sein wird.
     
  11. becks

    becks Erfahrener Benutzer

    Registriert seit:
    14. Juni 2013
    Beiträge:
    237
    Danke erhalten:
    49
    Danke vergeben:
    39
    #11 becks, 2. Oktober 2020
    Zuletzt bearbeitet: 2. Oktober 2020
    Sorry verstehe ich nicht. Was muss ich wie machen?

    EDIT: Habe es selbst rausgefunden: Bei einer 4.0.3.0 muss aus der letzten Version die mit ResponsiveFilemanager ausgeliefert wurde die Datei entnommen werden, also in diesem Beispiel der 4.0.1.0.
     
  12. Kai Schoelzke

    Kai Schoelzke Beta-Held

    Registriert seit:
    30. März 2016
    Beiträge:
    3.551
    Danke erhalten:
    472
    Danke vergeben:
    181
    Gibt es denn bereits eine neue Version?
     
  13. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.849
    Danke erhalten:
    6.795
    Danke vergeben:
    2.060
    Nein, noch nicht. Wir sind dabei, aber das ist ein relativ aufwendiger Prozess.
     
  14. Garnelion

    Garnelion Erfahrener Benutzer

    Registriert seit:
    4. Oktober 2011
    Beiträge:
    54
    Danke erhalten:
    3
    Danke vergeben:
    16
    Welche Version sollte man für v3.10.0.3 installieren?
    Es gibt die 2 Ordner in der Zip-Datei:
    GX3.8.0.4 - GX3.9.3.1
    GX3.10.0.5 - GX3.10.2.0
    Danke
     
  15. Moritz (Gambio)

    Moritz (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    5.394
    Danke erhalten:
    2.431
    Danke vergeben:
    783
    Hallo,

    in diesem Fall ist GX3.10.0.5 - GX3.10.2.0 voll zur 3.10.0.3 kompatibel und die richtige Wahl.
     
  16. Alexander Hess

    Alexander Hess Erfahrener Benutzer

    Registriert seit:
    10. Juni 2011
    Beiträge:
    430
    Danke erhalten:
    67
    Danke vergeben:
    15
    Ich hatte auch das Problem, dass meine Version nicht auftauchte. Habe es gelöst, in dem ich auf 3.12 aktualisiert und dann erst das passende Fix hochgeladen habe.
     
  17. Günter M.

    Günter M. Erfahrener Benutzer

    Registriert seit:
    27. Mai 2011
    Beiträge:
    579
    Danke erhalten:
    41
    Danke vergeben:
    883
    #17 Günter M., 8. Oktober 2020
    Zuletzt bearbeitet: 8. Oktober 2020
    Der Bug wurde wenn ich es richtig verstehe am 06.10.2020 behoben?
    Ok, wer lesen kann ist klar im Vorteil :) Sorry für den Post. Steht ja ganz oben das alles in Ordnung gebracht wurde.
     
  18. M. Zitzmann

    M. Zitzmann Erfahrener Benutzer

    Registriert seit:
    3. März 2016
    Beiträge:
    298
    Danke erhalten:
    99
    Danke vergeben:
    27
    Ich habe hier aktuell zwei Kundenshops mit PHP 7.3.
    Bei beiden Shops ist es seit dem Einspielen des Updates nicht mehr möglich Bilder hochzuladen.
    Der responsive Filemanager sagt immer daß zu wenig Speicherplatz vorhanden sei.

    Einmal ist es die Version 3.14.4.2 einmal die 4.0.3.0
     
  19. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    33.745
    Danke erhalten:
    10.499
    Danke vergeben:
    1.500
  20. stefan_ulrich_1

    stefan_ulrich_1 Mitglied

    Registriert seit:
    14. Februar 2020
    Beiträge:
    7
    Danke erhalten:
    6
    Danke vergeben:
    4
    Ups...

    Ich habe (noch) 4.0.0.1 und das Sicherheitspaket ohne den Responsive Filemanager eingespielt, weil eben nicht vorhanden.

    Genügt es, das MU 4.2.0.0 komplett mit Filemanager einzuspielen?

    MfG

    Stefan U.