Wichtiges Sicherheitsupdate: Shopware 5.1.5/4.3.7 Released

Es existiert leider eine Sicherheitslücke in Shopware, die umgehendes Handeln erfordert:

Unter bestimmten Voraussetzungen ist es möglich, einen unautorisierten Fremdcode in Shopware auszuführen. Dieses ist eine kritische Lücke, die Auswirkungen auf das Gesamtsystem haben kann. Betroffen sind alle Shopware Versionen ab 4.0.0 bis einschließlich 5.1.4.

Aktuell sind uns keine Fälle bekannt in denen die Sicherheitslücke aktiv ausgenutzt wurde, jedoch ist es zwingend erforderlich, dass Sicherheitsupdate in jedem Shopware Shop einzuspielen.

Alle Informationen findet Ihr in unserem Wiki-Artikel:  http://community.shopware.com/_detail_1917.html

Natürlich werden euch in diesem Wiki-Artikel auch alternativen zu einem kompletten Shopware-Update angeboten.

 

Viele Grüße

Moritz

Wenn ich gar keinen Lizenzmanager installiert habe, eilt es demnach auch nicht mit einem Update?
Hab grad keine Lust, wieder stundenlang Backups zu machen - und nach dem „mapping_id“-Problemen bei All-Inkl. mache ich kein Update auf 5.1.5 ohne Backup.  Wink Wäre ja sonst nichts im Changelog, was ein Update rechtfertigen würde.

Hallo @sonic‍ 

generell ist der Shopware-Core betroffen. Das Lizenzplugin wurde hier nur genommen als möglicher Fix, da sich hier Updates sehr schnell verbreiten und so auch sehr schnell viele Shopware-Installationen sicher sind. Wenn du das Plugin nicht nutzt, solltest du die Lücke anderweitig fixen. Also entweder per Update auf 5.1.5 oder indem du das Hotfix-Plugin aus dem Wiki-Beitrag installiert. Das ist auch quelloffen.

Moritz

2 Likes

Wenn ich beim Lizenmanager also auf der aktuellen Version (1.1.2) bin brauch ich auch kein Update machen, sehe ich das richtig? Möchte nämlich ebenfalls ungern sofort auf 5.1.5 updaten.

Hallo @trixx‍

genau, der Lizenzmanager in Version 1.1.2 behebt das Problem automatisch.

Moritz

2 Likes

@Moritz Naczenski schrieb:

Hallo @trixx‍

genau, der Lizenzmanager in Version 1.1.2 behebt das Problem automatisch.

Moritz

Hallo Moritz,

alles klar, besten Dank.

Daniel

@Moritz Naczenski schrieb:

Hallo @sonic‍ 

generell ist der Shopware-Core betroffen. Das Lizenzplugin wurde hier nur genommen als möglicher Fix, da sich hier Updates sehr schnell verbreiten und so auch sehr schnell viele Shopware-Installationen sicher sind. Wenn du das Plugin nicht nutzt, solltest du die Lücke anderweitig fixen. Also entweder per Update auf 5.1.5 oder indem du das Hotfix-Plugin aus dem Wiki-Beitrag installiert. Das ist auch quelloffen.

Moritz

Hallo Moritz,

vielen Dank an Shopware, dass Ihr auch ein Hotfix-Plugin entwickelt und veröffentlicht habt, damit man nicht sofort auf Shopware Version 5.1.5 aktualisieren muss (wenn man auch keinen Lizenzmanager integriert hat), aber trotzdem “sicher” ist Thumb-Up .

Beste Grüße

Sebastian

1 Like