Neue Sicherheitslücke in SW ? Fake -/Abzocke?

Hallo, 

haben heute folgende Mail erhalten:

Wichtiger Sicherheits-Fix für Shopware!

Sicherheitslücke im System: Shopware rät zum umgehenden Handeln.

Liebe Shopbetreiber,

Durch eine  Sicherheitslücke im Shopsystem  ist es möglich,  unautorisierten Fremdcode  in Shopware auszuführen. 

Um die Sicherheitslücke zu schließen, sollte schnellstmöglich ein  Sicherheits-Fix  durchgeführt werden. Betroffen sind die Shopware Versionen  4.0.0 bis einschließlich 5.2.14.

Ab Dienstag: Update auf 5.2.15

Voraussichtlich am morgigen Dienstag, den 24.01.2017 wird  Shopware Version 5.2.15  veröffentlichen - inklusive erforderlichem Sicherheitsupdate.

Sollte sich Ihr Shop bereits in einer 5.2.x Version befinden, empfehlen wir dringend das Update vorzunehmen! Wir gehen Ihnen gerne zur Hand.

Schnelle Lösung für Sicherheitslücke: 79,- €

Für Shops, die noch auf einer  Version   5.1.x oder älter agieren , empfiehlt sich jedoch ein  manueller Fix. So können Sie Ihren Shop schnellstmöglich absichern!

Benötigen Sie Hilfe? Wir spielen den benötigten  Sicherheits-Fix entsprechend Ihrer  Shopware Version * ein.

* Aktionspreis von 79,- € zzgl. MwSt. bezieht sich auf das manuelle Einspielen eines Patch-Plugins. Das Angebot enthält kein Update auf die nächst höhere Shopware Version. Es werden keine Systemupdates oder Änderungen an Plugins und Fremdprodukten vorgenommen.

Aktionspreis 79,- für einen Sicherheitsfix  Da steckt doch Abzocke dahinter oder?

Lg 

@Vitago GmbH schrieb:

Hallo, 

haben heute folgende Mail erhalten:

Wichtiger Sicherheits-Fix für Shopware!

Sicherheitslücke im System: Shopware rät zum umgehenden Handeln.

Liebe Shopbetreiber,

Durch eine  Sicherheitslücke im Shopsystem  ist es möglich,  unautorisierten Fremdcode  in Shopware auszuführen. 

Um die Sicherheitslücke zu schließen, sollte schnellstmöglich ein  Sicherheits-Fix  durchgeführt werden. Betroffen sind die Shopware Versionen  4.0.0 bis einschließlich 5.2.14.

Ab Dienstag: Update auf 5.2.15

Voraussichtlich am morgigen Dienstag, den 24.01.2017 wird  Shopware Version 5.2.15  veröffentlichen - inklusive erforderlichem Sicherheitsupdate.

Sollte sich Ihr Shop bereits in einer 5.2.x Version befinden, empfehlen wir dringend das Update vorzunehmen! Wir gehen Ihnen gerne zur Hand.

Schnelle Lösung für Sicherheitslücke: 79,- €

Für Shops, die noch auf einer  Version   5.1.x oder älter agieren , empfiehlt sich jedoch ein  manueller Fix. So können Sie Ihren Shop schnellstmöglich absichern!

Benötigen Sie Hilfe? Wir spielen den benötigten  Sicherheits-Fix entsprechend Ihrer  Shopware Version * ein.

* Aktionspreis von 79,- € zzgl. MwSt. bezieht sich auf das manuelle Einspielen eines Patch-Plugins. Das Angebot enthält kein Update auf die nächst höhere Shopware Version. Es werden keine Systemupdates oder Änderungen an Plugins und Fremdprodukten vorgenommen.

Aktionspreis 79,- für einen Sicherheitsfix  Da steckt doch Abzocke dahinter oder?

Lg 

Hallo,

also auf jeden Fall besteht die Sicherheitslücke und auch die Empfehlung von Shopware, entweder auf die neuste Shopware Version 5.2.15 zu aktualisieren oder das Patch-Plugin zu installieren. Das ist aber auf jeden Fall nicht die E-Mail, die Shopware selbst versendet, denn die Shopware - E-Mail verweist auf den kostenlosen Wiki-Eintrag: http://community.shopware.com/\_detail\_1988.html , wo ja alle (kostenlosen) Möglichkeiten aufgeschlüsselt werden.

Ein Update kostet natürlich immer Zeit (und Geld). Das Einspielen des Patch - Plugins dürfte aber in 1 Minute erledigt sein.

Beste Grüße

Sebastian

Hallo,

magst du uns die Mail mal weiterleiten an forum@shopware.de

Würde da gerne mal draufschaun 

Danke

Sebastian

So sieht die offizielle, von uns verschickete Mail aus:

621×955 143 KB

@SebastianKlöpper schrieb:

Hallo,

magst du uns die Mail mal weiterleiten an forum@shopware.de

Würde da gerne mal draufschaun 

Danke

Sebastian

Hallo,

klar mache ich gleich.

Edit: Mail ist raus.

Lg 

So eine ähnliche Mail kam ungefragt bei einem meiner Kunden zum Hotfix 5.1.4 auf 5.1.5 von commerce4.de .FYI.

Habe ich heute auch bekommen! Kommt von:

Friedmann Kommunikation GmbH
Schanzenstr. 36
51063 Köln
Deutschland

Betreff: 

Shopware: Kritische Sicherheitslücke | Jetzt fixen!

Dann der selbe Text wie hier bereits gepostet mit den 79 €. Die bieten hier auch diverse Plugins im Store an, hatte da bestimmt mal eins gekauft von denen, weiß gerade nur nicht welches. Trotzdem ätzend dann zugespamt zu werden! Ein neuer Kanditat für die Blacklist!

Ich persönlich empfinde es als Abzocke. Einen Hotfix einspielen sollte jeder Shopbetreiber auch ohne Hilfe hinkriegen.

Und was ich gar nicht mag, ist Spam. Der landet auch bei uns auf der Blacklist!

Lg

@trixx schrieb:

Habe ich heute auch bekommen! Kommt von:

Fxxxxxx Kxxxxxxx GmbH
Sxxxx. 12345
51063 Köln
Deutschland

Betreff: 

Shopware: Kritische Sicherheitslücke | Jetzt fixen!

Dann der selbe Text wie hier bereits gepostet mit den 79 €. Die bieten hier auch diverse Plugins im Store an, hatte da bestimmt mal eins gekauft von denen, weiß gerade nur nicht welches. Trotzdem ätzend dann zugespamt zu werden! Ein neuer Kanditat für die Blacklist!

Hatte ich auch einen xxx-Newsletter / 23.01.2017 , hatte wahrscheinlich auch mal ein Plugin von denen und musste auch zweimal lesen, was genau los ist. Sehe das aber nicht so verbissen und ein Link zum Abmelden der Newsletter ist ja drin.

Das Gute daran war, das ich dadurch überhaupt auf die Sicherheitslücke aufmerksam gemacht wurde, hätte ich sonst garnicht mitbekommen, denn von Shopware kam keine Mail.

Uwe

@useg schrieb:

@trixx schrieb:

Habe ich heute auch bekommen! Kommt von:

Fxxxxxx Kxxxxxxx GmbH
Sxxxx. 12345
51063 Köln
Deutschland

Betreff: 

Shopware: Kritische Sicherheitslücke | Jetzt fixen!

Dann der selbe Text wie hier bereits gepostet mit den 79 €. Die bieten hier auch diverse Plugins im Store an, hatte da bestimmt mal eins gekauft von denen, weiß gerade nur nicht welches. Trotzdem ätzend dann zugespamt zu werden! Ein neuer Kanditat für die Blacklist!

Hatte ich auch einen xxx-Newsletter / 23.01.2017 , hatte wahrscheinlich auch mal ein Plugin von denen und musste auch zweimal lesen, was genau los ist. Sehe das aber nicht so verbissen und ein Link zum Abmelden der Newsletter ist ja drin.

Das Gute daran war, das ich dadurch überhaupt auf die Sicherheitslücke aufmerksam gemacht wurde, hätte ich sonst garnicht mitbekommen, denn von Shopware kam keine Mail.

Uwe

Moin Uwe,

jo, abgemeldet habe ich mich dann auch sofort, nachdem ich erstmal geguckt hatte wer das überhaupt ist, bevor ich irgendeinen Link in ner Mail klicke, nachher versäuche ich mir noch das komplette System. Kommen ja täglich Spam Mails rein, zum Teil täuschend echt wo man echt 2x hingucken muss, daher klicke ich für gewöhnlich nie irgendwelche Links in Mails an, gehe wenn dann direkt auf die Seite.

Shopware Newsletter bzgl. Sicherheitslücke hatte ich dann aber auch kurze Zeit später im Kasten. Vielleicht ist der bei Dir ja im Spam-Ordner gelandet. 

Daniel

Unser Verteiler ist ja recht groß, der brauch schon einen Moment, damit alles verschickt wird.

Wenn Ihr zum Newsletter angemeldet seid, dann werdet ihr auch einen bekommen haben. Hab ihn ja selbst für meinen Testaccount auch bekommen.

Das sehe ich jetzt auch nicht so verbissen. Ist doch löblich, dass da drausen welche gibt, die daran verdienen möchten. So wie ich es hier raus lese, waren die Mails ja nicht vollkommen ungewollt. Letzlich habt Ihr ja was von denen gekauft

Rufschädigend war die Mail jetzt auch nicht. Das ist zwar nicht die feine Art, den Link auf die Shopwareseite zu verheimlichen, aber auch bei einem HotFix-Plugin kann es durchaus teurer werden. Vor allem dann, wenn der Kunde das Formular individuell angepasst hat. Das muss man natürlich gegenprüfen. Und alles zusammen kann das durchaus 30 Minuten dauern wobei 79€ (Bei einem Stundenlohn zwischen 60,-€ - 120,-€) im Rahmen liegt. Es gibt immer Kunden die gern Hilfe in Anspruch nehmen auch wenn Sie es selbst machen könnten.

Wobei ich persönlich bei Kundenaufträgen grundsätzlich erst ein Backup anlege. Egal bei welcher Arbeit.

Ihr benötigt vielleicht eine Minute. Eine Firma die das im Auftrag entgegen nimmt, muss da ein wenig mehr machen als nur ein Plugin hochladen. Nur weil diese Mail nicht von Shopware ist, ist es noch lang kein Betrug oder dergleichen.

@Pixelcore schrieb:

Das sehe ich jetzt auch nicht so verbissen. Ist doch löblich, dass da drausen welche gibt, die daran verdienen möchten. So wie ich es hier raus lese, waren die Mails ja nicht vollkommen ungewollt. Letzlich habt Ihr ja was von denen gekauft

Rufschädigend war die Mail jetzt auch nicht. Das ist zwar nicht die feine Art, den Link auf die Shopwareseite zu verheimlichen, aber auch bei einem HotFix-Plugin kann es durchaus teurer werden. Vor allem dann, wenn der Kunde das Formular individuell angepasst hat. Das muss man natürlich gegenprüfen. Und alles zusammen kann das durchaus 30 Minuten dauern wobei 79€ (Bei einem Stundenlohn zwischen 60,-€ - 120,-€) im Rahmen liegt. Es gibt immer Kunden die gern Hilfe in Anspruch nehmen auch wenn Sie es selbst machen könnten.

Wobei ich persönlich bei Kundenaufträgen grundsätzlich erst ein Backup anlege. Egal bei welcher Arbeit.

Ihr benötigt vielleicht eine Minute. Eine Firma die das im Auftrag entgegen nimmt, muss da ein wenig mehr machen als nur ein Plugin hochladen. Nur weil diese Mail nicht von Shopware ist, ist es noch lang kein Betrug oder dergleichen.

Hä das ist löblich, löblich dass es da draußen Firmen gibt die damit Geld verdienen wollen, in dem sie uns erst ein billiges Plugin verkaufen um so an unsere Daten zu kommen und uns dann später, unerlaubterweise zu kontaktieren und uns irgendwelche Dienstleistungen zu verkaufen!? Ne, is klar! Nur weil wir mal und anscheinend einige andere auch, in der Vergangenheit ein Plugin von denen gekauft hatten, heißt es ja noch lange nicht dass wir jetzt Mails bekommen möchte mit irgendwelchen angebotenen Dienstleistungen  bzw. will ich überhaupt keine Mails bekommen. 

Wenn ich Probleme hätte hier ein Patch oder sonst was einzuspielen, kümmere ich mich schon selbst drum jemanden zu finden der dies für mich erledigt. Ja, ich und die meisten anderen bestimmt auch, haben dafür auch nur 1-2 min. benötigt, mir also doch egal was da ne Firma dafür nimmt, welche dies als Auftragsarbeit erledigt, „ich habe die nicht beauftragt“. 

Ne, Betrug ist es wohl nicht, aber unlauterer! Wer weiß wie die sonst so mit den Daten umgehen?

Hallo,

bleibt mal auf dem Teppich. Wenn man schon in Geschäftskontakt zu einer anderen Firma steht ist eine E-Mail-Kontaktaufnahme in Sache Eigenwerbung nicht unzulässig. Also erst mal über die gültige Rechtslage informieren, bevor man Betrug oder unlautere Methoden unterstellt.

Regt ihr euch bei jeder Cia**-Spam-Mail aus der Ukraine ebenso wortreich auf? Wenn es einen nicht interessiert, löschen und gut ist.

Wenn der Shopbetreiber mich als Admin ernennt und von einem anderen so eine Mail bekommt, dann lösst das bei dem teilweise Panik aus. Es gibt auch oft Mails wo das SEO so schlecht gemacht wird, so dass Kunden meine Arbeit anzweifeln, denn warum sollte eine Mail lügen? Dann darf ich erklären, dass es nicht so ist. Sorry, aber ich koste 100Euro/netto die Stunde und das erklären/rechtfertigen zahlst du mir ja nicht. Solche Mails sind Spam und schädigen meinen und des Kunden Geschäftsbetrieb und kosten viel Geld. Da gibt es gar nichts zu diskutieren.

So, ich habe jetzt mal nachgesehen. Wir haben und hatten NIE Plugins von der Firma im Einsatz, weder gekaufte noch als Testversion, wo nehmen die also unsere Daten her?

Ich kann nun mal Spam nicht ausstehen, wir senden unseren Kunden vielleicht 10 mal im Jahr einen Newsletter, und da auch nur Kunden die sich zum Newsletter angemeldet haben, außer es gab wichtige Änderungen in den AGBs.

Betrug würde ich der Firma nicht unterstellen, empfinde es aber als äußerst unseriös auf diese Weise auf Kundenfang zu gehen.

Lg

@brettvormkopp‍

Wessen Geistes Kind ist denn ein Kunde, der jeder hergelaufenen E-Mail mehr vertraut als seinem von Ihm bestellten und bezahlten Admin? Da stimmt doch an anderer Stelle was nicht! Schließt der auch bei jeder Kaltaquise am Telefon sofort ein Geschäft ab?

@drakon‍ Angst, es ist Angst um das Geschäft. In einem hart umkämpften Markt, als verantwortlicher Arbeitgeber der für ein Auskommen ganzer Familien sorgt, als persönlich für alles Einstehender ist es die Angst die Shopbetreiber dazu führt. Gerade weil das meist nur Geschäftsmänner/frauen sind und die keine Ahnung von Technik haben.

@drakon schrieb:

Hallo,

bleibt mal auf dem Teppich. Wenn man schon in Geschäftskontakt zu einer anderen Firma steht ist eine E-Mail-Kontaktaufnahme in Sache Eigenwerbung nicht unzulässig. Also erst mal über die gültige Rechtslage informieren, bevor man Betrug oder unlautere Methoden unterstellt.

Regt ihr euch bei jeder Cia**-Spam-Mail aus der Ukraine ebenso wortreich auf? Wenn es einen nicht interessiert, löschen und gut ist.

Ach so und Du bist von welcher Rechtskanzlei, dass du das zu 100% sagen kannst dass dies erlaubt ist? Und selbst wenn, hinterlässt  das ganze keinen guten Eindruck. Und dann noch damit zu werden es wäre jetzt grade ein super tolles Schnäppchen…

Ja sicher rege ich mich auch über jeden anderen Spam auf!  Wahrscheinlich auch mit ein Grund warum einen dass hier noch mehr nervt. Hatte auch schon die ein oder andere Spam Mail an entsprechende Stellen gemeldet, ob das etwas bringt ist eine andere Frage, anscheinend aber nicht, bei der täglichen Spamflut. Nur kannst Du das auch  nicht damit vergleichen. Das sind dann abzockmethoden im großen Stil, da ist es nicht damit getan mal kurz Welle zu machen. Da stecken dann ganz andere Vereinigungen dahinter. Ich denke bei der Sache hier, ist das aber etwas anderes und da sollte man dann in Zukunft vorsichtig sein, wenn man weiterhin Plugins im Store anbieten möchte. Für mich war das Thema aber eigentlich auch erstmal, mit dem abmelden aus dem Verteiler, erledigt. Kann nur nicht verstehen wie man das immer alles schönreden muss. Kein Wunder dass es immer schlimmr wird, wenn jeder nichts mehr sagt.

Ach so @drakon gib mir doch mal bitte deine Mail + Kontaktdaten, für meinen Newsletter, da ist bestimmt was für dich dabei und wenn nicht, löschen und gut ist!

@trixx‍

Nein, ich kann nicht zu 100 % sagen, daß es erlaubt ist. Wir leben aber in einem Rechtsstaat, wo nur die Dinge verboten sind, die konkret verboten sind. Es benötigt keine konkrete Erlaubnis alle anderen Dinge zu tun. Das ist ein elementarer Unterschied. Du kannst nämlich genauso wenig sagen, daß die besagte E-Mail 100 % verboten ist. Das müßte erst mal ein Gericht klären.

Und bzgl. der Kontaktdaten dürfte es Dir mit meinem Avatar und dem Nick nicht schwerfallen mich im Netz zu finden. Tu Dir keinen Zwang an 

Ich finde schon, daß man über das Thema diskutieren darf, ohne gleich so verbissen zu werden. Es ist ähnlich gelagert wie beim Thema Abmahnungen, wo man, wenn es einen trifft, eher den Standpunkt vertritt, der Abmahner sollte es mal nicht so eng sehen, war ja nicht bös gemeint…