Habe eine Mail bekommen wegen dem Security Issue SW-22811 mittel/schwer und Zugriff auf den Cache Ordner. Ich wollte nun den Fix nachvollziehen finde aber weder in den Release zu 5.5.3 Notes noch Irgendwo auf github was zu diesem Issue noch finde ich die Nummer SW-22811 im Issue-Tracker. Auch finde ich den Quellcode des Sicherheits-Plugins nicht. Wie kann ich nun nachvollziehen was ich eventuell fixen muss/soll? Ich würde mir da mehr Transparent wünschen in den Changelogs (statt Issue-Nummer vielleicht nen Link zum eigentlichen Commit). Geh grad die Liste durch, finde aber irgendwie immer noch nichts (https://github.com/shopware/shopware/compare/v5.5.2...v5.5.3)
Würde mich auch interessieren, somal man zu diesem Problem im PlugIn auch nichts gesondert (de)-aktivieren kann.
Quellcode: Testshop einfach das Plugin installieren aber nicht aktivieren, dann via FTP runterladen.
Aber selbst im Plugin finde ich keine Versionsabfrage für < = 5.5.2 oder < 5.5.3, an der man erkennen kann, was das Plugin dazu macht.
Ihr werdet auf Github keine Änderung finden. Es war im Build-Prozess ein Fehler dass keine .htaccess Datei im Cache Ordner abgelegt wurde. Das Security Plugin erstellt diese .htaccess beim Install oder Update, wenn sie nicht vorhanden ist.
1 „Gefällt mir“
Jupp habe gerade die Letzte und die Vorletzte Sicherheitsplugin-Version verglichen und gesehen dass bei manchen einfach die htaccess gefehlt hat. Hätte man auch in die changelog schreiben können statt „Unter bestimmten Bedingungen konnte man auf Cache-Dateien zugreifen“ 
Also Fix ohne Plugin: Nachschauen ob /var/cache/.htaccess Vorhanden, wenn nicht mit folgendem Inhalt erzeugen (unter Vorbehalt):
# Deny all requests from Apache 2.4+.
Require all denied
# Deny all requests from Apache 2.0-2.2.
Deny from all