Wichtiges Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

Thema wurde von Michael (Gambio), 24. Januar 2024 erstellt.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Geri*

    Geri* Erfahrener Benutzer

    Registriert seit:
    18. Mai 2014
    Beiträge:
    449
    Danke erhalten:
    56
    Danke vergeben:
    137
    ...dem kann ich nur zustimmen. Seit ich Dominik kenne, läuft vieles besser, einfacher und schneller. :)
     
  2. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    7. November 2022
    Beiträge:
    48
    Danke erhalten:
    26
    Danke vergeben:
    24
    Die hatte ich auch.
    So etwas auffälliges wäre bei so wichtigen Sachen wie dieser auch angebracht.
     
  3. semmelweis

    semmelweis Erfahrener Benutzer

    Registriert seit:
    17. Juli 2020
    Beiträge:
    218
    Danke erhalten:
    18
    Danke vergeben:
    61
    Das kann ich zu 100% so unterschreiben!
    Dominik ist einfach der beste <3
     
  4. Wankelshop

    Wankelshop Erfahrener Benutzer

    Registriert seit:
    8. September 2013
    Beiträge:
    58
    Danke erhalten:
    8
    Danke vergeben:
    21
    #24 Wankelshop, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Funktioniert wieder danke!
     
  5. Frankenwald Hanf-Shop

    Frankenwald Hanf-Shop Erfahrener Benutzer

    Registriert seit:
    1. August 2019
    Beiträge:
    71
    Danke erhalten:
    14
    Danke vergeben:
    42
    Also 4.4.0.3 würde ich nun nicht als steinalt ansehen und die Ansage das es für die Version nicht gefixt wird und zum Update aufrufen was je nach Serverstand zu PHP Versionsproblemen führen kann, kommt schon bissl mittelfingrig tbh :(.
     
  6. Anonymous

    Anonymous Mitglied

    Registriert seit:
    3. Oktober 2021
    Beiträge:
    7
    Danke erhalten:
    1
    Hallo zusammen,
    seit dem Security Update fehlt bei mir im Admin (Cloud Shop) in der Linken Spalte das Google-Modul - in allen Browsern.
    Geht das anderen auch so?
     
  7. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.744
    Danke erhalten:
    1.347
    Danke vergeben:
    305
    @CloudDancer Bitte einmal im Gambio Admin den Modul-Cache und Seitencache leeren. Dann sollte der Menüpunkt für Google auch wieder da sein.
     
  8. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.744
    Danke erhalten:
    1.347
    Danke vergeben:
    305
    Das Sicherheitsupdate steht nun auch im Gambio Store zum Download bereit.
     
  9. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.127
    Danke erhalten:
    6.177
    Danke vergeben:
    1.090
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Die Kombi alte Server Software und alte PHP Versionen sind nicht besser und ebenfalls ein Risiko. Andere Programme und Anwendungen bekommen auch mehrere Updates jedes Jahr. Wenn die Server-Platform updates verhindert, ist sie veraltet und muss ebenfalls aktualisiert werden. Ganz einfach.

    Und ja, ich hatte es zwar durchs Forum und Reddit vorab erfahren aber ne Mail von Gambio wäre sinnig gewesen, weils dann wirklich jeden "Support" Kunden erreicht oder alle Nutzer (Je nachdem welchen Datenstand die Mailliste hat).
    Im Admin musste ich jetzt auch erst suchen um die Info zu sehen
     
  10. PHI

    PHI Erfahrener Benutzer

    Registriert seit:
    23. März 2012
    Beiträge:
    423
    Danke erhalten:
    26
    Danke vergeben:
    137
    ddfd
    Guten Tag Michael, vielen Dank für eure gute Arbeit.

    Wir haben einfach die 2 Dateien hochgeladen und überschrieben (vom Gprotector und vom Parcelshopfinder..) läuft... bei Version 4.3.2.1 keine Probleme.
     
  11. marcel_halbich

    marcel_halbich Erfahrener Benutzer

    Registriert seit:
    30. April 2017
    Beiträge:
    209
    Danke erhalten:
    11
    Danke vergeben:
    29
    Wir bekamen gerade diese Mail, Sicherheitsupdate war schon eingespielt:

    Hallo Marcel,

    wir konnten auf deinem System die Datei "my_products.php" nachweisen, was darauf hindeutet, dass dein System mithilfe der veröffentlichten Gambio Schwachstelle ausgenutzt wurde.
    Außerdem existiert die SQL-Injection weiterhin in Gambio.
     
  12. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    374
    Danke erhalten:
    146
    Danke vergeben:
    51
    #32 Orange Raven, 25. Januar 2024
    Zuletzt bearbeitet: 25. Januar 2024
    Ich hab jetzt lange still gehalten, aber was Gambio hier gerade veranstaltet kostet Vertrauen und das nicht zu knapp. Wie kann man eine aus meiner Sicht signifikante Sicherheitslücke so viele Wochen völlig ignorieren? Das entzieht sich mir jeder Logik.

    Dass ihr keinen Sicherheitspatch für Versionen veröffentlicht, die über 1,5 Jahre alt sind, finde ich blöd, aber vielleicht sogar noch halbwegs nachvollziehbar. Allerdings missachtet ihr völlig, dass es ggf. Gründe gibt, warum Shopbetreiber noch auf älteren Versionen hängen. Das kann eine WaWi sein, die nicht kompatibel ist, die man nicht wie Unterhosen wechselt oder auch Drittmodule, bei denen die Entwicklung schwierig ist. Habe selbst min. einen Kunden, der genau das Problem hat. Viel Geld für ein Drittmodul ausgegeben, der Entwickler leider einen Haufen Mist eingebaut und sich dann verdrückt. Finanziell keine Neuentwicklung drin. Die müssen aktuell mit Version 4.3 arbeiten, weils keine Alternative gibt. Sie hoffen, Ende 2024 wieder den Spielraum zu haben. Auch das sind eure Kunden, die Supportverträge haben. Noch mehr klar zu machen: "Dieser Teil unserer Kunden ist uns egal" kann man eigentlich nicht.

    Da dann nicht mal einen Workaround zu veröffentlichen, finde ich einfach eine bodenlose Frechheit. Wir reden hier ja nicht über ein tolles neues Feature, was ihr zur Verfügung stellt, sondern um eine eklatante Sicherheitslücke, die den Zugang u.a. zur kompletten Datenbank ermöglicht.

    Ich bin gerade massiv enttäuscht. Von eurer Kommunikation, eurer Arbeitsweise und nach welchen Kriterien offenbar Lösungen angeboten werden.

    Edit:
    Besonders wäre ein Workaround wichtig, für alle die schon betroffen sind. My_products.php taucht doch mittlerweile in vielen Sytemen auf...

    Edit 2:
    Und wenn ich es richtig sehe wurde das Problem direkt mal gar nicht behoben?
    https://herolab.usd.de/security-advisories/usd-2023-0047/

    Im Sicherheitspatch ist jedenfalls keine shop.php enthalten.
     
  13. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    4. September 2018
    Beiträge:
    114
    Danke erhalten:
    16
    Danke vergeben:
    12
    in welchem (Unter-)verzeichnis wäre denn die My_products.php ggf. zu finden?
     
  14. IngeMaisel

    IngeMaisel Erfahrener Benutzer

    Registriert seit:
    2. Juni 2015
    Beiträge:
    72
    Danke erhalten:
    8
    Danke vergeben:
    78
    #34 IngeMaisel, 26. Januar 2024
    Zuletzt bearbeitet: 26. Januar 2024

    Ich denke schon das es behoben ist nur noch nicht auf der usd website eingetragen, denn:
    "
    Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

    Folgende Security Issues werden von dem Security Update behoben:

    https://herolab.usd.de/security-advisories/usd-2023-0046/
    https://herolab.usd.de/security-advisories/usd-2023-0047/ "

    Das steht im Admin geschrieben .

    An dieser Stelle auch nochmal ein herzliches Dankeschön an Dominik Späte.
     
  15. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. September 2017
    Beiträge:
    81
    Danke erhalten:
    11
    Danke vergeben:
    46
    Wir haben die E-Mail gestern Abend auch bekommen. Ganz tolle Arbeit Gambio - Herzlichen Dank! Ohne die schnelle Hilfe von Rico von Orange Raven und Dominik Späte wären wir hier komplett aufgeschmissen gewesen.
     
  16. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    374
    Danke erhalten:
    146
    Danke vergeben:
    51
    Die Datei wäre direkt im Hauptverzeichnis. Ich bin gerade in der Analyse, was in den Shop gemacht wurde und werde die Ergebnisse dann auch hier veröffentlichen. Festzustellen ist, dass scheinbar eine größere Datenmenge im Shop enthalten ist.
    Backup vom 07.01. ist in diesem Shop 42 GB groß. Das vom 25.01. ist 69 GB groß. Infiziert wurde der Shop am 23.01. Der Datenzuwachs ist nicht normal. Wegen der großen Datenmenge dauert die Analyse aber etwas.

    Bin ich mir nicht ganz sicher. Also erstens gab es zu Gambio fünf Meldungen (https://herolab.usd.de/security-advisories/) und es sind im Patch nur zwei aufgeführt und zweitens behauptet die Mail ja, dass die SQL Injection nicht geschlossen ist. Es gibt erstmal keinen Grund dieser Aussage nicht zu glauben.

    Hier muss ich aber passen und müsste Kollegen ins Boot holen, die das genauer sagen können. Das ist echt nicht mein Fachgebiet, wo ich so tief drin stecke.
     
  17. IngeMaisel

    IngeMaisel Erfahrener Benutzer

    Registriert seit:
    2. Juni 2015
    Beiträge:
    72
    Danke erhalten:
    8
    Danke vergeben:
    78
    Danke für den Hinweis, ist mir durchgegangen. Wie es aussieht wurde der Testshop von Gambio getestet. Was mich viel mehr beunruhigt ist diese Aussage von usd:
    "Hinweis: Nach der Entdeckung leitete unser Team sofort den Prozess der verantwortungsvollen Offenlegung ein, indem es den Anbieter hinter Gambio kontaktierte. Leider scheiterten unsere Versuche, den Anbieter bei der Lösung dieses Problems zu engagieren, trotz mehrfacher Versuche mit Stillschweigen."
     
  18. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    16. März 2012
    Beiträge:
    77
    Danke erhalten:
    8
    Danke vergeben:
    36
    Hat es schon jemand mit der v4.4.0.3 gemacht?
    Ich sitze hier wie auf Kohlen. Updateservice auf die neueste Version ist beauftragt, wird aber sicher etwas dauern.

    Was kann im schlimmsten Fall passieren, wenn ich die beiden Security Dateien austausche? Kann ich dann einfach wieder die beiden alten Dateien hochladen, wenn es Probleme geben sollte, oder sollte ich das lassen?

    Viele Grüße
    Daniel
     
  19. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. September 2017
    Beiträge:
    81
    Danke erhalten:
    11
    Danke vergeben:
    46
    Es scheint bisher nur eines der Probleme behoben zu sein. Das SQL-Injection-Problem ist nach wie vor vorhanden.
    Leider gibt es von Gambio noch keine Reaktion zu meinem Ticket, wie ich mit einer älteren Shopversion mit dem Thema umgehen soll.
     
  20. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    374
    Danke erhalten:
    146
    Danke vergeben:
    51
    Ja, einfach die Dateien überschreiben. Vorher die Dateien einfach lokal auf dem PC sichern. Sollte eh nur einen Effekt haben, wenn du die Paketstationssuche von DHL eingebaut hast. Sollte die normal funktionieren, ists kein Problem. Falls doch, einfach die alten Dateien wieder reinspielen.

    Ich bin mir jetzt sicher, dass die SQL-Injection nicht behoben wurde. Hat Gambio vor das Update anzupassen oder wird es da sehr sehr zeitnah (also bitte heute noch!) ein weiteres Update geben?

    Ich rechne gerade nicht mit einer brauchbaren Antwort nach allem was ich hier gerade sehe.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.