Wichtiges Sicherheitsupdate 2022-01 V1.0 für Shops von v3.11.1.0-v4.4.0.3 sowie v4.5.1.0-v.4.5.1.1

Thema wurde von Wilken (Gambio), 2. Februar 2022 erstellt.

  1. Wilken (Gambio)
    Wilken (Gambio) Erfahrener Benutzer
    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Vorangegangene Security Updates:
    Security Update (2018-04) für Shops von GX2 v2.1.0.0 bis GX3 v3.9.2.1
    Security Update (2018-09) für Shops von GX2 2.1.0.0 - GX3 3.10.0.3 v1.1
    Security Update (2018-11) für Shops von GX2 v2.1.0.0 bis GX3 v3.10.1.0 und GX3 v3.11.1.0
    Security Update (2019-10) für Shops von GX3 v3.13.2.0 bis GX3 v3.14.1.0 und GX3 v3.15.1.0 - v3.15.1.1
    Security Update (2020-02) für Shops von GX3 v3.7.1.0 - v3.14.4.1 und v3.15.1.0 - v3.15.4.1
    Wichtiges Sicherheitsupdate 2020-09 V1.1 für Shops von GX3 v3.0.0.0 - v4.1.3.0


    Liebe Shopbetreiber,

    wir haben soeben ein aktuelles Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern mit den oben genannten betroffenen Shopversionen dringend empfehlen.

    Ende letzter Woche erreichte uns ein Hinweis eines Shopbetreibers, der eine bei einem dortigen Audit entdeckte Schwachstelle im Shop gemeldet hat. WIr bedanken uns an dieser Stelle auch bei GK Software für die professionelle Weitergabe der Informationen an uns.

    Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir gehen auch davon aus, dass neben uns und dem Absender-Shopbetreiber nur wenige weitere die Problemstellungen kennen. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation.

    Von den Schwachstellen betroffen sind alle Shopversionen zwischen Version GX3 v3.11.1.0 bis einschließlich GX4 v4.4.0.3 sowie GX4 v4.5.1.0 - GX4 v4.5.1.1

    Die neuen Shopversion v4.4.0.4 sowie v4.5.1.2 und folgende sind und werden bereits gepatched sein und müssen folglich nicht upgedated werden.

    Nutzer der Gambiocloud müssen nichts unternehmen, alle Shops wurden bereits vollständig von uns abgesichert.

    Ältere Shopversionen als GX3.11.1.0 sollten nicht betroffen sein, wurden allerdings auch aufgrund des allgemeinen Supportendes für diese Versionen nicht mehr tiefengeprüft.


    Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.

    Das Sicherheitsupdate steht in allen selfhosted Shops ab GX3.13 über den Gambio Store bereit und kann von dort per Mausklick installiert werden. Für alle Shopversion ab GX3.13 ist dies, aufgrund der Einfachheit, der empfohlene Bezugsweg.

    Das Sicherheitsupdate steht ausserdem über folgenden Link ins Gambio Kundenportal zum Download bereit:

    Download Security Update 2022-01 1.0 für Shops von GX3 v3.11.1.0 - GX4 v4.4.0.3 sowie v4.5.1.0 - v.4.5.1.1

    Wie immer bei Sicherheitsupdates ist der Download auch ohne aktives Supportkonto möglich, um möglichst vielen von euch zu ermöglichen eure Shops bestmöglich abzusichern.
     
  2. hartwigbusse
    hartwigbusse Erfahrener Benutzer
    Registriert seit:
    10. Dezember 2014
    Beiträge:
    1.207
    Danke erhalten:
    270
    Danke vergeben:
    437
    @Gambio Update und Bestellung okay..
     
  3. markus_wick
    markus_wick Erfahrener Benutzer
    Registriert seit:
    10. Oktober 2018
    Beiträge:
    979
    Danke erhalten:
    221
    Danke vergeben:
    153
    Im Testshop über den GambioShop installiert (4.5.1.1) ohne Probleme. Liveshop mache ich morgen wenn ich im Büro bin zwecks vorherigem Backup.

    Ist es nicht etwas verwirrend, wenn ich das Securityupdate vornehme, die Gambioversion aber bei 4.5.1.1 bleibt, wenn ich das 4.5.1.2 Update einspiele habe ich auch nur das Security-Update eingespielt, bin aber auch 4.5.1.2?
     
  4. Anonymous
    Anonymous Erfahrener Benutzer
    Registriert seit:
    20. Januar 2021
    Beiträge:
    403
    Danke erhalten:
    138
    Danke vergeben:
    54
    Für 4.4.0.2 scheint das Update problemlos gelungen zu sein. Zumindest fällt mir nichts ungewöhnliches auf.
     
  5. Günter M.
    Günter M. Erfahrener Benutzer
    Registriert seit:
    27. Mai 2011
    Beiträge:
    610
    Danke erhalten:
    51
    Danke vergeben:
    942
    Update Problemlos gelaufen. Bei mir im Admin sehe ich nur seit einiger zeit keine Updates mehr im Gambio Store. Ich habe 4.4.0.2 .
    upload_2022-2-2_21-39-53.png
     
  6. Anonymous
    Anonymous Erfahrener Benutzer
    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    Update über den Gambio Store fehlerfrei.
     
  7. barbara
    barbara G-WARD 2014-2020
    Registriert seit:
    14. August 2011
    Beiträge:
    35.627
    Danke erhalten:
    11.348
    Danke vergeben:
    1.614
    Update über den GAmbio-Store lief problemlos.
    Allerdings habe ich es erst unter "Installierte Pakete und Updates" gesucht und nicht unter "Module" vermutet
     
  8. Wilken (Gambio)
    Wilken (Gambio) Erfahrener Benutzer
    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Dazu machste dann am besten mal ein Ticket, damit sich das jemand bei dir ansieht.

    Das ist mehr oder minder ein Sonderfall, weil man mit dem Securityupdate Shops absichern kann ohne die ansich updaten zu müssen, es betrifft ja auch viele ältere Versionen... Wir wollten nur auf jeden Fall eine neue Version haben, die das Problem ab Haus nicht hat, und da 3.15.2.0 bereits im Bau ist lohnte es auch nicht da auf Krampf anderes mit reinzustopfen.
     
  9. barbara
    barbara G-WARD 2014-2020
    Registriert seit:
    14. August 2011
    Beiträge:
    35.627
    Danke erhalten:
    11.348
    Danke vergeben:
    1.614
    Da hast Du dich jetzt aber vertipp, oder :D:D:D
     
  10. Anonymous
    Anonymous Erfahrener Benutzer
    Registriert seit:
    26. November 2015
    Beiträge:
    2.514
    Danke erhalten:
    416
    Danke vergeben:
    1.238
    Hallo, ich hab das schon so lange nicht mehr gemacht. Was muss ich jetzt genau tun? Einfach die Dateien rüberkopieren und überschreiben lassen?
     
  11. barbara
    barbara G-WARD 2014-2020
    Registriert seit:
    14. August 2011
    Beiträge:
    35.627
    Danke erhalten:
    11.348
    Danke vergeben:
    1.614
    Gehe in den Gamibio-Store und da auf den Link "Module"
    Dann siehst Du des Update, Da einfach auf "Installieren" klicken, und kurz danach im Fenster Deine Admin-Daten eingeben.
     
  12. guenter_baeumler
    guenter_baeumler Erfahrener Benutzer
    Registriert seit:
    22. Juni 2018
    Beiträge:
    376
    Danke erhalten:
    69
    Danke vergeben:
    69
    Guten Morgen,
    der Gambio-Store war vor und nach dem Update, wie seit langem, leer.

    Update ohne Probleme.
     
  13. Alexander P.
    Alexander P. Aktives Mitglied
    Registriert seit:
    25. August 2011
    Beiträge:
    36
    Danke erhalten:
    15
    Danke vergeben:
    16
    Update erfolgreich und Testbestellung war fehlerfrei.
     
  14. dmun
    dmun Erfahrener Benutzer
    Registriert seit:
    2. Juni 2019
    Beiträge:
    322
    Danke erhalten:
    36
    Danke vergeben:
    6
    Hallo, das Update wird mir unter 3.14 im App-Store nicht angezeigt. Wenn ich es manuell installiere, also entpacke und die Dateien in das Stammverzeichnis kopiere, muss ich dann noch etwas machen ? Irgendein Script aufrufen oder einen Knopf drücken ?

    Grüße, Dirk
     
  15. Wilken (Gambio)
    Wilken (Gambio) Erfahrener Benutzer
    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Schau unter Module, nicht unter installierte Module.

    Nach dem Hochladen muss der Gambio Updater durchlaufen werden. Der dient eigentlich nur dazu die Caches einmal zu leeren, aber das ist eben nötig.
     
  16. Garnelion
    Garnelion Erfahrener Benutzer
    Registriert seit:
    4. Oktober 2011
    Beiträge:
    70
    Danke erhalten:
    3
    Danke vergeben:
    22
    Hallo,
    müsste man etwas tun bei v3.10.0.3?
    Vielen Dank für die Info
     
  17. Garnelion
    Garnelion Erfahrener Benutzer
    Registriert seit:
    4. Oktober 2011
    Beiträge:
    70
    Danke erhalten:
    3
    Danke vergeben:
    22
    Vielen Dank für Deine Antwort Devil.
    "Ältere Shopversionen als GX3.11.1.0 sollten nicht betroffen sein, wurden allerdings auch aufgrund des allgemeinen Supportendes für diese Versionen nicht mehr tiefengeprüft"
    Vielleicht hat sich einer bereits mit ähnlicher Fragestellung befasst und kann dazu was sagen.
     
  18. Geri*
    Geri* Erfahrener Benutzer
    Registriert seit:
    18. Mai 2014
    Beiträge:
    457
    Danke erhalten:
    59
    Danke vergeben:
    140
    Update durchlaufen und alles OK :)
    Super Job, Danke!
     
  19. Wankelshop
    Wankelshop Erfahrener Benutzer
    Registriert seit:
    8. September 2013
    Beiträge:
    62
    Danke erhalten:
    8
    Danke vergeben:
    24
    Auch erledigt. Funktioniert alles wunderbar! Danke.
     
  20. Hilke (Gambio)
    Hilke (Gambio) Super-Moderator
    Mitarbeiter
    Registriert seit:
    18. Mai 2015
    Beiträge:
    470
    Danke erhalten:
    255
    Danke vergeben:
    410
    Du musst danach noch den Gambio Updater aufrufen, also www.deinshop.de/gambio_updater

    Der sollte dann aber automatisch starten, wenn du dich nach dem Hochladen der Dateien als Admin einloggst. Außerdem liegt in dem Installationspaket auch eine Anleitung bei. :)