Wichtiges Sicherheitsupdate 2020-09 V1.1 für Shops von GX3 v3.0.0.0 - v4.1.3.0

Thema wurde von Wilken (Gambio), 6. Oktober 2020 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0
    Security Update (2019-10) für Shops von GX3 v3.13.2.0 bis GX3 v3.14.1.0 und GX3 v3.15.1.0 - v3.15.1.1
    Security Update (2020-02) für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1

    Liebe Shopbetreiber,

    wir haben soeben das aktuelle Security Update Paket aktualisiert. Zum einen kam es mit dem Patch für die Shopversion 3.15.x - 4.0.x danach zu Problemen mit dem Responsive Filemanager, die nun hoffentlich behoben sind. Zum anderen haben wir nochmal Sicherheitsdetails nachgeschärft.

    Leuten, die bisher noch keinen Patch installieren haben empfehlen wir weiter dringend das Updatepaket zu installieren. Leuten, die schon Version 1.0 des Pakets installiert haben empfehlen wir ebenfalls die Aktualisierung, um einige weitere, kleinere Problempotenziale aus der Welt zu schaffen, denn sicher ist sicher.

    Ansonsten gilt das in Version 1.0 auch gesagt genau gleich weiter, darum füge ich es hier nochmal 1:1 ein:

    Mit diesem Security-Update schließen wir Schwachstellen im Shop. Wir haben einen Security Audit durch externe Experten beauftragt, die sich durch die Codebasis gewühlt und dort etwas entdeckt haben, mit dem man einen Angriff konstruieren könnte. Solche Audits durch Dritte beauftragen wir immer wieder, um die Sicherheit aller bestmöglich zu gewährleisten. Die nun gewählten Experten haben einen recht neuen Ansatz benutzt, und damit Probleme aufgezeigt, um die wir uns nach Erhalt sofort gekümmert haben.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir gehen auch davon aus, dass nur wir die Problemstellungen kennen. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation.

    Von den Schwachstellen betroffen sind alle Shopversionen zwischen Version GX3 v3.0.0.0 bis einschließlich GX4 v4.1.3.0.

    Shopversion 4.2.0.0 und folgende sind bereits gepatched und müssen nicht upgedated werden.

    Nutzer der Gambiocloud müssen nichts unternehmen, die Shops wurden bereits von uns abgesichert.

    Ältere Shopversionen (wie GX2.x) wurden aufgrund des bereits seit langem geendeten Supports nicht mehr betrachtet.


    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Sicherheitsupdate steht über das Gambio Kundenportal und über folgenden Link zum Download bereit:

    Download Security Update 2020-09 für Shops von GX3 v3.0.0.0 - GX4 V4.1.3.0

    Wie immer bei Sicherheitsupdates ist der Download auch ohne aktives Supportkonto möglich, um möglichst vielen von euch zu ermöglichen eure Shops bestmöglich abzusichern.
     
  2. sirtet

    sirtet Erfahrener Benutzer

    Registriert seit:
    4. Juli 2012
    Beiträge:
    1.114
    Danke erhalten:
    88
    Danke vergeben:
    88
    Kann ich irgendwo im Shop sehen welche Security Updates eingespielt sind, oder muss ich die betroffenen Dateien checken?
     
  3. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.692
    Danke vergeben:
    903
    Es gibt keine Anzeige dazu, aber du kannst in den version_info-Ordner schauen. Da liegen so geannnte Versionsquittungen, also eine Datei je Security-Update. Die haben im Namen sowas wie sec-update, sec-patch oder so ähnlich. Davon lassen sich die installieren Security Updates ableiten.
     
  4. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    Die fließen aber auch ins nächste Update ein.
    Wenn also nicht alle Security.Updates gemacht wurden, aber der Shop aktuell ist, hast Du die trotzdem.
     
  5. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.692
    Danke vergeben:
    903
    Ja genau. Bei den Security Updates siehst du ja, für welche Versionen sie kompatibel sind. Ist die eigene Shopversion höher als die höchste kompatible, ist der Fix bereits enthalten und das Security Update somit nicht notwendig.