Wichtiges Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

also für die v4.4.0.3 scheint das Securityupdate zu funktionieren, jedenfalls bei unserem Shop gibt es keine Fehlermeldung. Wir haben allerdings die Paketstationssuche nicht aktiv.

Die SQL Geschichte ist allerdings noch mächtig beängstigend. Das versaut mir den ganzen Freitag und wahrscheinlich auch das Wochenende.

 

Folgende Antwort habe ich vom Support bekommen:" es sind auch Versionen vor der v4.6.0.1 betroffen, daher sollte zumindest auf diese Shopversion geupdated werden, damit der Sicherheitspatch installiert werden kann."

 

Gambio, was tut ihr? Krisenmanagement Note 6.

Habe einen kleinen Blogbeitrag geschrieben, wo drin steht was man tun muss und wie man auch frühere Versionen updaten kann: https://www.orange-raven.de/gambio-schwere-sicherheitsluecke-dezember-januar-2024/

Mit heißer Nadel gestrickt.

Was mich gerade ankotzt: Gambio hat den Sicherheitspatch unvollständig veröffentlicht. Es fehlt eine Datei. Der Patch ist bis jetzt nicht korrigiert (eben nochmal runtergeladen, die Datei fehlt immernoch). Habe einen entsprechenden Download in den Blogbeitrag gepackt. Den werfe ich da raus, sobald Gambio seinen Fehler korrigiert hat.

edit: Till war gerade schneller, der Punkt ist dann klar.

Laut Aussage eines Kollegen, den ich zu dessen Schutz hier nicht nenne, schließt die neue Datei dann auch die SQL-Injection.

Außerdem gebe ich hier, ohne Gewähr (deswegen auch nicht im Blog) einen kleinen Skript rein, mit dem man zumindest rudimentär prüfen kann, ob man selbst infiziert wurde. Ich erkläre nicht, wie er eingesetzt wird. Wer damit was anzufangen weiß, weis dann auch was er mit dem Ergebnis machen muss.

Code:

<?php

function searchFileInDirectory($dir, $filename) {
    $iterator = new RecursiveIteratorIterator(new RecursiveDirectoryIterator($dir));
    foreach ($iterator as $file) {
        if ($file->isDir()) continue;
        if (strtolower($file->getFilename()) === strtolower($filename)) {
            return $file->getPathname();
        }
    }
    return false;
}

function searchForCodeWithGrep($dir, $code) {
    $escapedDir = escapeshellarg($dir);
    $escapedCode = escapeshellarg($code);
    $command = "grep -rl --include='*.php' $escapedCode $escapedDir";
    exec($command, $output, $return_var);
    if ($return_var === 0 && !empty($output)) {
        return $output; // Returns an array of file paths where the code was found
    }
    return false;
}

// Pfad des Verzeichnisses, in dem gesucht werden soll, auf das aktuelle Verzeichnis setzen
$rootDirectory = __DIR__;

// Suche nach 'my_products.php'
$myProductsFile = searchFileInDirectory($rootDirectory, 'my_products.php');
echo $myProductsFile ? "Gefunden: 'my_products.php' in $myProductsFile<br>" : "Datei 'my_products.php' nicht gefunden.<br>";

// Suche nach der spezifischen Codezeile mit grep
$searchCode = 'test.test.com';
$foundFilesWithCode = searchForCodeWithGrep($rootDirectory, $searchCode);
if ($foundFilesWithCode) {
    foreach ($foundFilesWithCode as $file) {
        echo "Code gefunden in $file<br>";
    }
} else {
    echo "Spezifischer Code nicht gefunden.<br>";
}

?>

Außerdem hier eine Liste von gefundenen Dateien, die in dem infizierten Shop aufgetaucht sind. Wurden von Gambio (Ticket) gefunden und bereinigt. Das hat immerhin gut geklappt. Aber da könnt ihr schauen. Sollten die Dateien bei euch auftauchen, dann Ticket an Gambio oder Backup einspielen:

 

Von mir aus können wir hier ganz offen reden Bei meinen Tests mit der neuen Datei produziert das geschilderte Vorgehen (https://herolab.usd.de/security-advisories/usd-2023-0047/) keine Fehlermeldung mehr.

Schön, dass es heute noch klappt mit dem Update.

 

Bedeutet das, dass bereits infizierte Shops wieder sauber werden?

Ich habe keine Ahnung von SQL etc aber wenn ich eine Zeile aus deinem Beitrag nehme und meinen Shoplink davor eingebe, öffnet sich mein Shop ganz normal.

Also z.B.:
(Link nur für registrierte Nutzer sichtbar.)

Bei anderen Gambioshops und auch bei einem Testshop geht das nicht.
Muss ich hier davon ausgehen, dass mein Shop tatsächlich infiziert ist?

 

Nein. Schau via FTP nach ob die Dateien da drin liegen (Filezilla). Sind die Dateien nicht da, ist wahrscheinlich alles gut. Der Shop öffnet sich immer, auch wenn man URLs eingibt, die nicht korrekt sind. Das vermeidet 404 Fehler.

 

Was ist mit den Cloudshops? Wir erkennt man ob ein Cloudshop infiziert ist?

 

Das liegt auf Seiten Gambio. Wenn da was infiziert ist, ist es bereits in Arbeit oder erledigt. Cloudbetreiber müssen sich nicht weiter kümmern.

 

Passt der neue Inhalt noch zur beiliegenden Installationsanleitung?
Vorher war ja nur Dateien rüberkopieren und fertig aber jetzt hat es auch Ordner / Dateien für den "gambio_updater".

 

Ich habe vorhin das Update über den Gambio Store installiert (das war noch die erste, unvollständige Update-Version).

Kann ich die aktualisierte Update-Version ebenso über den Gambio Store installieren? Dort wird mir im Moment nur das Update 2024-01 v1.0 angezeigt und dass dieses Update bereits intalliert ist (ich kann dieses Update also vom Store aus im Moment gerade nicht noch einmal installieren)

 

die Datei saofm.php habe ich gefunden. Kann das weg?

 

Nur diese Datei?

In dem Fall besser Ticket aufmachen. Ein anderer Shop kann anders infiziert sein. Da könnte noch mehr liegen. Das muss geprüft werden.

 

Okay, aber dann stimmt die beiliegende Installationsanleitung ja nicht mehr.
Vorher ging der Patch nur durch überspielen ohne Downtime / Shop offline, jetzt wird der Shop Offline geschaltet. Das sollte vielleicht in der Anleitung angepasst werden.

 

Als Cloudnutzer sehe ich aber ohnehin nur eine begrenzte Anzahl an Verzeichnissen über den FTP Zugang. Das gibt mir also nicht wirklich ein Sicherheitsgefühl.

Seltsam,.. bei anderen getesteten Cloudshops öffnet sich eben nicht der Shop, wenn ich den o.g. Link eingebe. Bei mir schon.

Na ob man das glauben kann? Mein Vertrauen zu Gambio ist gerade am Nullpunkt angelangt.