Thema: Sicherheitspatch für Shopversionen ab 1.06 SP2 (security_fix_2017_05_08.zip)

Tomcraft · **am:** 08. Mai 2017, 17:46:08

Liebe Community,

wir haben eine Sicherheitslücke gefunden, die alle veröffentlichten Versionen ab und inklusive der Shopversion 1.06 rev 4642 SP2 betrifft.

Es ist jedem zu raten diese mittels angehängtem Patch zu schliessen.

Es müssen lediglich zwei Dateien ausgetauscht werden.

Download des Fixes: Klick mich

Gemeldet wurde uns die Lücke von "ADLab of VenusTech".

Wir wünschen euch weiterhin gute Geschäfte und viel Spaß mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

Linkback: https://www.modified-shop.org/forum/index.php?topic=37185.0

Fakrae · **Antwort #1 am:** 08. Mai 2017, 18:22:44

Und schon wieder ist die Lücke im Modul eines Affiliatepartners... Kann man die nicht grundsätzlich optional machen?

Danke auf jeden Fall für den Fix!

Timm · **Antwort #2 am:** 08. Mai 2017, 20:05:47

thomas57 · **Antwort #3 am:** 09. Mai 2017, 06:06:51

ELF-K11 · **Antwort #4 am:** 09. Mai 2017, 10:11:50

Merci !

woodpecker · **Antwort #5 am:** 09. Mai 2017, 10:22:16

Vielen Dank

Thomas · **Antwort #6 am:** 09. Mai 2017, 14:10:21

schwarzwaldmetzgerei · **Antwort #7 am:** 09. Mai 2017, 17:35:51

Merci!

Nordseekrabbe · **Antwort #8 am:** 09. Mai 2017, 18:27:39

Dankeschön!

gerdvomabbruch · **Antwort #9 am:** 09. Mai 2017, 19:26:36

heisst also betrifft mich nicht? v1.06 rev 4356

fishnet · **Antwort #10 am:** 12. Mai 2017, 08:21:53

Zitat von: gerdvomabbruch am 09. Mai 2017, 19:26:36

heisst also betrifft mich nicht? v1.06 rev 4356

Es geht hier um die Schnittstelle der IT Recht Kanzlei. Diese sollte in deiner Shopversion noch nicht vorhanden sein, es sei denn du hast sie nachträglich einbauen lassen.

fishnet · **Antwort #11 am:** 12. Mai 2017, 10:04:08

Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

parrotsnature · **Antwort #12 am:** 12. Mai 2017, 11:14:09

Zitat von: fishnet am 12. Mai 2017, 10:04:08

Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

Das würde mich auch interessieren, denn wir nutzen das Modul nicht und werden es sicherlich auch nie tun.

voodoopupp · **Antwort #13 am:** 12. Mai 2017, 15:19:08

Naja, da es nur zwei Dateien hochzuladen sind, kann man es doch getrost machen ohne erstmal abzuklären, ob es notwendig ist.

Da kostet die Frage im Forum stellen mehr Zeit, als die Dateien auszutauschen

awids · **Antwort #14 am:** 12. Mai 2017, 15:29:21

Die Frage ist für Dienstleister wie fishnet, mich u. a. sehr wichtig, da wir eine ganze Menge Shops betreuen müssen und daher die Notwendigkeit ein wichtiger Faktor ist.

Am Beispiel fishnet: Wenn er von seinen über 350 bekannten Händlern (Angabe aus dem aktuellen Google-Rezensionen-Thread übernommen) nur die Hälfte betreut, muss er den Patch in 175 Shops einspielen. Da schätzt man Aufwand und Notwendigkeit schon gerne ein.

voodoopupp · **Antwort #15 am:** 12. Mai 2017, 15:33:23

Okay, da magst du recht haben. An solche Art von Betreuung habe ich nicht gedacht. Dachte eher, dass ein Händler zwei Dateien selber austauschen kann

fishnet · **Antwort #16 am:** 12. Mai 2017, 15:37:26

Das machen die aber nicht. Die rufen mich an und fragen ob es auch für sie notwendig ist

voodoopupp · **Antwort #17 am:** 12. Mai 2017, 15:41:31

Na solche Kunden möchte ich nicht haben

Chopper-Fahrer · **Antwort #18 am:** 22. Mai 2017, 18:18:46

Zitat von: fishnet am 12. Mai 2017, 10:04:08

Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

Würde mich auch interessieren, da ich mehrere Shops am laufen habe und man sich nur die Arbeit machen will, die auch wirklich nötig ist.

Außerdem: Ist in den Downloads der Vollversionen dies auch gleich gefixt worden?
(Hintergrund: Werde noch in diesem Monat die neueste Shop-Version runterladen, da mal wieder ein neuer Shop installiert werden muss.)

awids · **Antwort #19 am:** 22. Mai 2017, 20:03:02

Die aktuelle Shopversion ist von April, der Fix von Mai d. J. - also nicht im Downloadpaket für 2.0.2.2 enthalten, da bereits veröffentlichte Versionen nicht nachträglich verändert werden.

Chopper-Fahrer · **Antwort #20 am:** 23. Mai 2017, 19:03:37

Zitat von: awids am 22. Mai 2017, 20:03:02

da bereits veröffentlichte Versionen nicht nachträglich verändert werden.

Gut, das wollte ich wissen. Ich dachte das solche Sicherheitslücken im aktuellen Download gleich geändert werden damit neue "Downloader" solche Sicherheitsupdates nicht verpassen können

Steht also nur noch die andere Frage im Raum, ob der Fix auch nötig ist wenn man dieses Modul nicht nutzt.

noRiddle (revilonetz) · **Antwort #21 am:** 31. Mai 2017, 13:12:21

Wenn man sich vergegenwärtigt, daß die Klasse it_recht_kanzlei in lediglich einer Datei instantiiert wird und in dieser Datei der Code mit folgendem umgeben ist

Code: PHP [Auswählen]

if (defined('MODULE_API_IT_RECHT_KANZLEI_STATUS')
&& MODULE_API_IT_RECHT_KANZLEI_STATUS == 'true'
)
{

jeglicher Code aus dem Fix also nur ausgeführt wird wenn das Modul aktiv ist,
darf man davon ausgehen, daß der Fix nicht nötig ist wenn das Modul nicht benutzt wird.

Meine Wenigkeit würde jedoch jedem dringend empfehlen den Fix trotzdem einzuspielen, insbesondere wenn es sich um Kunden handelt. Man weiß nämlich nie ob sich jemand später doch entscheidet sich des Modules zu bedienen, bis dahin längst vergessen habend (oder gar nie gewußt habend), daß es dort eine Sicherheitslücke gab.
Den Gedankengang müsste eigentlich jeder machen.

Gruß,
noRiddle