Sicherheitslücke? Ist das echt?

Shopware Sicherheitslücke

Liebe Kunden & Pluginkäufer,

heute erreichte uns von Shopware der Hinweis auf eine Sicherheitslücke, die es ermöglicht Fremdcode im Shop auszuführen. Die Lücke ist laut Shopware bisher wohl noch nicht öffentlich bekannt.

Betroffen sind alle Shopware Versionen bis einschließlich 5.2.24.

In den nächsten Tagen wird es hierzu ein Update seitens Shopware geben.  Wir empfehlen also unbedingt die neue Version zügig einzuspielen.

Hinweis: Uns liegt das Sicherheitsupdate (Version 5.2.25) schon vor.
Bei Bedarf einfach melden.

 

Die Mail kam von 

Marc von 8mylez marc.baur@8mylez.com

„Die Lücke ist laut Shopware bisher wohl noch nicht öffentlich bekannt.“

Na spätestens jetzt hat sich das geändert …

jo, da hat aber jemand mitgedacht …

Mir kommt es nur komisch vor das die angeblich das Sicherheitsupdate schon haben und shopware hat es noch nicht freigegeben.

Könnte genauso ein trick sein um Schadcode über dieses Update einzuspielen. 

Hallo,
Shopware 5.2.25 wurde releast:
http://community.shopware.com/Downloads_cat_448.html#5.2.25

Alternative Weg wäre für ältere Version das Plugin einzuspielen:
http://community.shopware.com/Security-Update-06-2017_detail_2014_482.html 

LG Andre  Shopware

Hallo AndreHerking,

bin soeben dabei das Sicherheitsplugin zu installieren. Wozu eigentlich diese fünf Optionen Ja/Nein. Nehme mal an, dass alle auf Ja zu setzen sind oder ?

LG spiro

 

 

 

Andere Agenturen verschicken diese Email mit dem Hinweis, dass nur SIE über die Fixes von Shopware verfügen und die bei allen Kunden ohne SLA mit Aufwand von 1h installieren können.

Wird hier mit Open Source-Updates Umsatz bei Unwissenden generiert?

Hallo,

@AndreHerking‍: ersetzt das Security-Plugin dann auch das “SwagSecurityHotFix201701” oder muss das zusätzlich installiert bleiben?

Hallo,

bei dem neuen SwagSecurity handelt es sich um ein globales Sicherheitsplugin, welches durch Updates ergänzt wird. Die einzelnen Fixes sind als Option in der Pluginkonfiguration deaktivierbar, da manche Fixes Auswirkungen auf eigene Templates haben können.

Edit: Die anderen Sicherheitsfixes müssen weiterhin installiert bleiben - dies betrifft nur künftige Updates.

1 Like