Also 4.4.0.3 würde ich nun nicht als steinalt ansehen und die Ansage das es für die Version nicht gefixt wird und zum Update aufrufen was je nach Serverstand zu PHP Versionsproblemen führen kann, kommt schon bissl mittelfingrig tbh .
Hallo zusammen, seit dem Security Update fehlt bei mir im Admin (Cloud Shop) in der Linken Spalte das Google-Modul - in allen Browsern. Geht das anderen auch so?
@CloudDancer Bitte einmal im Gambio Admin den Modul-Cache und Seitencache leeren. Dann sollte der Menüpunkt für Google auch wieder da sein.
Die Kombi alte Server Software und alte PHP Versionen sind nicht besser und ebenfalls ein Risiko. Andere Programme und Anwendungen bekommen auch mehrere Updates jedes Jahr. Wenn die Server-Platform updates verhindert, ist sie veraltet und muss ebenfalls aktualisiert werden. Ganz einfach. Und ja, ich hatte es zwar durchs Forum und Reddit vorab erfahren aber ne Mail von Gambio wäre sinnig gewesen, weils dann wirklich jeden "Support" Kunden erreicht oder alle Nutzer (Je nachdem welchen Datenstand die Mailliste hat). Im Admin musste ich jetzt auch erst suchen um die Info zu sehen
ddfd Guten Tag Michael, vielen Dank für eure gute Arbeit. Wir haben einfach die 2 Dateien hochgeladen und überschrieben (vom Gprotector und vom Parcelshopfinder..) läuft... bei Version 4.3.2.1 keine Probleme.
Wir bekamen gerade diese Mail, Sicherheitsupdate war schon eingespielt: Hallo Marcel, wir konnten auf deinem System die Datei "my_products.php" nachweisen, was darauf hindeutet, dass dein System mithilfe der veröffentlichten Gambio Schwachstelle ausgenutzt wurde. Außerdem existiert die SQL-Injection weiterhin in Gambio.
Ich hab jetzt lange still gehalten, aber was Gambio hier gerade veranstaltet kostet Vertrauen und das nicht zu knapp. Wie kann man eine aus meiner Sicht signifikante Sicherheitslücke so viele Wochen völlig ignorieren? Das entzieht sich mir jeder Logik. Dass ihr keinen Sicherheitspatch für Versionen veröffentlicht, die über 1,5 Jahre alt sind, finde ich blöd, aber vielleicht sogar noch halbwegs nachvollziehbar. Allerdings missachtet ihr völlig, dass es ggf. Gründe gibt, warum Shopbetreiber noch auf älteren Versionen hängen. Das kann eine WaWi sein, die nicht kompatibel ist, die man nicht wie Unterhosen wechselt oder auch Drittmodule, bei denen die Entwicklung schwierig ist. Habe selbst min. einen Kunden, der genau das Problem hat. Viel Geld für ein Drittmodul ausgegeben, der Entwickler leider einen Haufen Mist eingebaut und sich dann verdrückt. Finanziell keine Neuentwicklung drin. Die müssen aktuell mit Version 4.3 arbeiten, weils keine Alternative gibt. Sie hoffen, Ende 2024 wieder den Spielraum zu haben. Auch das sind eure Kunden, die Supportverträge haben. Noch mehr klar zu machen: "Dieser Teil unserer Kunden ist uns egal" kann man eigentlich nicht. Da dann nicht mal einen Workaround zu veröffentlichen, finde ich einfach eine bodenlose Frechheit. Wir reden hier ja nicht über ein tolles neues Feature, was ihr zur Verfügung stellt, sondern um eine eklatante Sicherheitslücke, die den Zugang u.a. zur kompletten Datenbank ermöglicht. Ich bin gerade massiv enttäuscht. Von eurer Kommunikation, eurer Arbeitsweise und nach welchen Kriterien offenbar Lösungen angeboten werden. Edit: Besonders wäre ein Workaround wichtig, für alle die schon betroffen sind. My_products.php taucht doch mittlerweile in vielen Sytemen auf... Edit 2: Und wenn ich es richtig sehe wurde das Problem direkt mal gar nicht behoben? https://herolab.usd.de/security-advisories/usd-2023-0047/ Im Sicherheitspatch ist jedenfalls keine shop.php enthalten.
Ich denke schon das es behoben ist nur noch nicht auf der usd website eingetragen, denn: " Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0 Folgende Security Issues werden von dem Security Update behoben: https://herolab.usd.de/security-advisories/usd-2023-0046/ https://herolab.usd.de/security-advisories/usd-2023-0047/ " Das steht im Admin geschrieben . An dieser Stelle auch nochmal ein herzliches Dankeschön an Dominik Späte.
Wir haben die E-Mail gestern Abend auch bekommen. Ganz tolle Arbeit Gambio - Herzlichen Dank! Ohne die schnelle Hilfe von Rico von Orange Raven und Dominik Späte wären wir hier komplett aufgeschmissen gewesen.
Die Datei wäre direkt im Hauptverzeichnis. Ich bin gerade in der Analyse, was in den Shop gemacht wurde und werde die Ergebnisse dann auch hier veröffentlichen. Festzustellen ist, dass scheinbar eine größere Datenmenge im Shop enthalten ist. Backup vom 07.01. ist in diesem Shop 42 GB groß. Das vom 25.01. ist 69 GB groß. Infiziert wurde der Shop am 23.01. Der Datenzuwachs ist nicht normal. Wegen der großen Datenmenge dauert die Analyse aber etwas. Bin ich mir nicht ganz sicher. Also erstens gab es zu Gambio fünf Meldungen (https://herolab.usd.de/security-advisories/) und es sind im Patch nur zwei aufgeführt und zweitens behauptet die Mail ja, dass die SQL Injection nicht geschlossen ist. Es gibt erstmal keinen Grund dieser Aussage nicht zu glauben. Hier muss ich aber passen und müsste Kollegen ins Boot holen, die das genauer sagen können. Das ist echt nicht mein Fachgebiet, wo ich so tief drin stecke.
Danke für den Hinweis, ist mir durchgegangen. Wie es aussieht wurde der Testshop von Gambio getestet. Was mich viel mehr beunruhigt ist diese Aussage von usd: "Hinweis: Nach der Entdeckung leitete unser Team sofort den Prozess der verantwortungsvollen Offenlegung ein, indem es den Anbieter hinter Gambio kontaktierte. Leider scheiterten unsere Versuche, den Anbieter bei der Lösung dieses Problems zu engagieren, trotz mehrfacher Versuche mit Stillschweigen."
Hat es schon jemand mit der v4.4.0.3 gemacht? Ich sitze hier wie auf Kohlen. Updateservice auf die neueste Version ist beauftragt, wird aber sicher etwas dauern. Was kann im schlimmsten Fall passieren, wenn ich die beiden Security Dateien austausche? Kann ich dann einfach wieder die beiden alten Dateien hochladen, wenn es Probleme geben sollte, oder sollte ich das lassen? Viele Grüße Daniel
Es scheint bisher nur eines der Probleme behoben zu sein. Das SQL-Injection-Problem ist nach wie vor vorhanden. Leider gibt es von Gambio noch keine Reaktion zu meinem Ticket, wie ich mit einer älteren Shopversion mit dem Thema umgehen soll.
Ja, einfach die Dateien überschreiben. Vorher die Dateien einfach lokal auf dem PC sichern. Sollte eh nur einen Effekt haben, wenn du die Paketstationssuche von DHL eingebaut hast. Sollte die normal funktionieren, ists kein Problem. Falls doch, einfach die alten Dateien wieder reinspielen. Ich bin mir jetzt sicher, dass die SQL-Injection nicht behoben wurde. Hat Gambio vor das Update anzupassen oder wird es da sehr sehr zeitnah (also bitte heute noch!) ein weiteres Update geben? Ich rechne gerade nicht mit einer brauchbaren Antwort nach allem was ich hier gerade sehe.