Liebe Shopbetreiber, wir haben soeben ein aktuelles Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern mit der oben genannten betroffenen Shopversionen dringend empfehlen. Wichtig: Nutzer der Gambio Cloud müssen nichts unternehmen, alle Shops wurden bereits vollständig von uns abgesichert. Folgende Security Issues werden von dem Security Update behoben: https://herolab.usd.de/security-advisories/usd-2023-0046/ https://herolab.usd.de/security-advisories/usd-2023-0047/ Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Wir stufen die Sicherheitsprobleme aber in mindestens einem Fall als kritisch ein, und empfehlen darum dringend die Paketinstallation. Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten. Das Security Update steht im Gambio Store als Update bereit oder kann unter folgendem Link auch direkt heruntergeladen werden: Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0 Ein Login ins Kundenportal ist dafür nicht nötig. Edit: Es steht eine neue Version zur Verfügung. Wir empfehlen allen die neue Version zu installieren.
Verstehe ich das richtig, das Security Update ist nur für die Shop-Version 4.9.2.0 gemacht und wird auch nur für diese Shop-Version benötigt. Bei einer Shop Version z. B. 4.8.x.x besteht diese Sicherheitslücke nicht?
So auf den ersten Blick: Die GXMainComponents/Controllers/HttpView/Shop/ParcelshopfinderController.inc.php hat sich seit vielen Versionen nicht geändert. Wenn das Problem nicht in Zusammenhang mit Änderungen in der Umgebung steht, sind ältere Versionen ebenfalls betroffen. Heißt aber auch, dass man zumindest diese Datei aus dem Patch auch in älteren Versionen installieren kann. Eine Antwort von @Michael (Gambio) oder @Till (Gambio) auf die Frage von @Kai Stejuhn würde ich aber auch interessieren
Auch ältere Shopversionen sind betroffen und ich habe hier das Thema und den Beitrag noch entsprechend angepasst: Das Security Update gilt für alle Shopversionen ab GX4 v4.6.0.1 bis v4.9.2.0
gibt es dafür auch einen Service für die Installation über das Kundenportal und/oder wird das Security Update direkt in das Update auf 4.9.2.0 integriert? Wollte die Tage auf die neueste Version updaten lassen
ja gibt es, ist mit 49 € Kostenpflichtig Für das überschreiben von 2 Dateien. Datensicherung und Datenbanksicherung ist bei Gambio nicht mehr inclusive. Ich gehe das RISIKO ein und werde nur die 2 Dateien sichern und durch die neuen überschreiben.
Sollte das nicht im Gambio Store zur Installation zur Verfügung stehen? Bei mir ist nichts zu sehen: 4.8.0.2 und 4.9.2.0 (Test)
Und es gibt kein Kulanzangebot für die Leute, die gerade mit Installationsservice auf 4.9.2.0 upgedatet haben? Ich meine, wenn man den schon bucht, wird man das technisch oder fachlich auch nötig gehabt haben. Um jetzt eine massive Sicherheitslücke zu haben...?... Gibt es hier nicht so was wie einen Anspruch auf Garantie, bzw. Zuverlässigkeit?
Guten Morgen, wir haben noch die Version 4.3.2.1 weil wir den Shop im Moment Fehlerfrei finden und uns nicht die neuen Templates installieren möchten. Gilt das Update für uns auch ? Was wäre eine Alternative ? Den Paketshopfinder löschen, deinstallieren ? Wir nutzen den nicht. Früher waren die Security-Updates für ziemlich viele Versionen.
Unter folgendem Link kannst du den Installationsservice buchen: https://www.gambio-support.de/downloads/request_install_service/3645400e-60c5-4e03-a40d-862222b2b99b Das Security Update ist nicht in der aktuellen Shopversion v4.9.2.0 integriert, sondern wird in der kommenden Version oder einer eventuellen Korrekturversion erst enthalten sein. Nein, das Security Update steht nicht im Gambio Store zur Verfügung und kann nur im Kundenportal unter dem Link heruntergeladen und installiert werden. Wenn jemand gerade einen Updateauftrag laufen hat werde ich dafür sorgen, dass wir das Security Update gleich kostenlos mit installieren aber rückwirkend machen wir dies nicht mehr, wenn ein Auftrag schon abgeschlossen wurde. Das Security Update steht nur für Shopversionen ab v4.6.0.1 zur Verfügung und nicht für ältere Shopversionen. Wir empfehlen daher mindestens auf diese Version zu aktualisieren, damit das Security Update installiert kann. Anleitungen für Workarounds werden wir nicht anbieten, sondern immer die Installation des aktuellen Security Updates empfehlen.
Guten Morgen, wir haben den DHL Paketshop nicht installiert. Das Wechseln von Template auf Honeygrid etc. zerschießt den ganzen Shop optisch.
Danke @Dominik Späte Das was eigentlich die Aufgabe von Gambio wäre, hast Du heute früh schon für Deine Kunden gemacht. Es sind nicht alle Gambio-Kunden im Forum aktiv oder passiv täglich dabei! Es kam eine Rundmail mit Hinweis auf die Sicherheitslücke und der Link zum Runterladen. Außerdem hast Du Deine kostenlose Modulverwaltung so angepasst, dass es damit jeder ganz einfach selbst installieren kann. DANKE!
Note: Upon discovery, our team immediately initiated the responsible disclosure process by contacting the vendor behind Gambio. Unfortunately, despite multiple attempts, our attempts to engage the vendor in resolving this issue have been met with silence. Timeline 2023-12-08: First contact request via email. 2023-12-21: Second contact request via email. 2024-01-19: This advisory is published. Der Fehler war also schon am 8. Dezember bekannt. 2 Anfragen blieben unbeantwortet. Erst nach der Veröffentlichung reagierte Gambio. Nicht so cool.
Ich hab grad mal nach geschaut, die Datei sitzt wohl schon auf dem Server, ist jedoch im Admin nicht installiert. Ich bin jetzt auch nicht der Super-Programmer, aber ist es nicht besser solche Dateien auf externe Server auszulagern ? Weil die Datei-Leichen trägt man ja jahrelang mit rum.
Vielen Dank @Dominik Späte für den tollen Service. Hatte das Update schon drauf aber schön zu wissen, dass das Aufspielen von Patches nun viel einfacher geht. Für alle die noch nicht den Service vom Dominik nutzen: - es steht dort eine eigene Modulverwaltung zur Verfügung und mit der neusten Version können nun auch Patches sehr leicht eingespielt werden. Leben und Leben lassen. Denkt bitte daran, keiner kann von kostenlosen Service leben(die Modulverwaltung von @Dominik Späte ist Kostenlos)
Genau aus diesem Grund habe ich gestern in allen Gambio Shops direkt im Dashboard des Adminbereichs eine entsprechende Nachricht samt Downloadlink dazu gepostet. Trotzdem natürlich auch vielen Dank an Dominik, dass er seine Kunden darüber informiert
... es gibt Leute die aber nicht täglich in das Gambio-System schauen, weil ihre WAWI alles macht.... Eine Mail an alle Kunden sollte das dann regeln...
Ich bin der Meinung, man ist schon selbst dafür Verantwortlich, das man relevante Infos auch mitbekommt. Wie du das machst ist Deine Sache und nicht die von Gambio. Gambio ist dafür zuständig die nötigen Infos so zur Verfügung zu stellen, dass jeder die Möglichkeit hat diese zu erfahren. Bei der Gelegenheit würde ich Gambio anregen einen gesonderten Bereich im Backend (vielleicht über den Forenbeiträgen) einzurichten- mit sowas wie "Eilmeldungen" und das auch entsprechend hervor zu heben. Kostet nix, ist schnell gemacht und man sollte dann nichts mehr überlesen können.
Ich hatte heute morgen eine Rote 1 im Adminbereich in der Modulverwaltung stehen. Das ging sofort ins Auge. Anders als eine Mitteilung neben der Werbung von Afterbuy, die es seit Monaten gibt. Ursache der Roten 1 - Update vom Werbe-Markt.de - Werbe-Markt.de Modulverwaltung Erstaunlich finde ich auch die unterschiedlichen Geschwindigkeiten. Einerseits bis das Patches, welches 2 von 5 gemeldeten Schwachstellen bereinigt, bereit steht und wie schnell eine Schnittstelle zur Installation von Patches bereitgestellt werden kann.