Wichtiges Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

Thema wurde von Michael (Gambio), 24. Januar 2024 erstellt.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    16. März 2012
    Beiträge:
    77
    Danke erhalten:
    8
    Danke vergeben:
    36
    also für die v4.4.0.3 scheint das Securityupdate zu funktionieren, jedenfalls bei unserem Shop gibt es keine Fehlermeldung. Wir haben allerdings die Paketstationssuche nicht aktiv.

    Die SQL Geschichte ist allerdings noch mächtig beängstigend. Das versaut mir den ganzen Freitag und wahrscheinlich auch das Wochenende.
     
  2. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    29. September 2013
    Beiträge:
    76
    Danke erhalten:
    37
    Danke vergeben:
    6
    Folgende Antwort habe ich vom Support bekommen:" es sind auch Versionen vor der v4.6.0.1 betroffen, daher sollte zumindest auf diese Shopversion geupdated werden, damit der Sicherheitspatch installiert werden kann."
     
  3. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Wir werden noch heute ein neues Update veröffentlichen.
     
  4. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Gambio, was tut ihr? Krisenmanagement Note 6.

    Habe einen kleinen Blogbeitrag geschrieben, wo drin steht was man tun muss und wie man auch frühere Versionen updaten kann: https://www.orange-raven.de/gambio-schwere-sicherheitsluecke-dezember-januar-2024/

    Mit heißer Nadel gestrickt.

    Was mich gerade ankotzt: Gambio hat den Sicherheitspatch unvollständig veröffentlicht. Es fehlt eine Datei. Der Patch ist bis jetzt nicht korrigiert (eben nochmal runtergeladen, die Datei fehlt immernoch). Habe einen entsprechenden Download in den Blogbeitrag gepackt. Den werfe ich da raus, sobald Gambio seinen Fehler korrigiert hat.

    edit: Till war gerade schneller, der Punkt ist dann klar.

    Laut Aussage eines Kollegen, den ich zu dessen Schutz hier nicht nenne, schließt die neue Datei dann auch die SQL-Injection.

    Außerdem gebe ich hier, ohne Gewähr (deswegen auch nicht im Blog) einen kleinen Skript rein, mit dem man zumindest rudimentär prüfen kann, ob man selbst infiziert wurde. Ich erkläre nicht, wie er eingesetzt wird. Wer damit was anzufangen weiß, weis dann auch was er mit dem Ergebnis machen muss.

    Code:
    <?php
    
    function searchFileInDirectory($dir, $filename) {
        $iterator = new RecursiveIteratorIterator(new RecursiveDirectoryIterator($dir));
        foreach ($iterator as $file) {
            if ($file->isDir()) continue;
            if (strtolower($file->getFilename()) === strtolower($filename)) {
                return $file->getPathname();
            }
        }
        return false;
    }
    
    function searchForCodeWithGrep($dir, $code) {
        $escapedDir = escapeshellarg($dir);
        $escapedCode = escapeshellarg($code);
        $command = "grep -rl --include='*.php' $escapedCode $escapedDir";
        exec($command, $output, $return_var);
        if ($return_var === 0 && !empty($output)) {
            return $output; // Returns an array of file paths where the code was found
        }
        return false;
    }
    
    // Pfad des Verzeichnisses, in dem gesucht werden soll, auf das aktuelle Verzeichnis setzen
    $rootDirectory = __DIR__;
    
    // Suche nach 'my_products.php'
    $myProductsFile = searchFileInDirectory($rootDirectory, 'my_products.php');
    echo $myProductsFile ? "Gefunden: 'my_products.php' in $myProductsFile<br>" : "Datei 'my_products.php' nicht gefunden.<br>";
    
    // Suche nach der spezifischen Codezeile mit grep
    $searchCode = 'test.test.com';
    $foundFilesWithCode = searchForCodeWithGrep($rootDirectory, $searchCode);
    if ($foundFilesWithCode) {
        foreach ($foundFilesWithCode as $file) {
            echo "Code gefunden in $file<br>";
        }
    } else {
        echo "Spezifischer Code nicht gefunden.<br>";
    }
    
    ?>
    Außerdem hier eine Liste von gefundenen Dateien, die in dem infizierten Shop aufgetaucht sind. Wurden von Gambio (Ticket) gefunden und bereinigt. Das hat immerhin gut geklappt. Aber da könnt ihr schauen. Sollten die Dateien bei euch auftauchen, dann Ticket an Gambio oder Backup einspielen:

     
  5. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    1.172
    Danke erhalten:
    1.055
    Danke vergeben:
    366
    Von mir aus können wir hier ganz offen reden :) Bei meinen Tests mit der neuen Datei produziert das geschilderte Vorgehen (https://herolab.usd.de/security-advisories/usd-2023-0047/) keine Fehlermeldung mehr.

    Schön, dass es heute noch klappt mit dem Update.
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    11. Juli 2021
    Beiträge:
    436
    Danke erhalten:
    195
    Danke vergeben:
    143
    Bedeutet das, dass bereits infizierte Shops wieder sauber werden?

    Ich habe keine Ahnung von SQL etc aber wenn ich eine Zeile aus deinem Beitrag nehme und meinen Shoplink davor eingebe, öffnet sich mein Shop ganz normal.

    Also z.B.:
    (Link nur für registrierte Nutzer sichtbar.)

    Bei anderen Gambioshops und auch bei einem Testshop geht das nicht.
    Muss ich hier davon ausgehen, dass mein Shop tatsächlich infiziert ist?
     
  7. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Nein. Schau via FTP nach ob die Dateien da drin liegen (Filezilla). Sind die Dateien nicht da, ist wahrscheinlich alles gut. Der Shop öffnet sich immer, auch wenn man URLs eingibt, die nicht korrekt sind. Das vermeidet 404 Fehler.
     
  8. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Wir haben gerade den Sicherheitspatch aktualisiert. Der Downloadlink hat sich nicht geändert. Es wird automatisch die neue Version heruntergeladen. Alle die bereits den alten Patch installiert haben, empfehlen wir den Patch erneut zu installieren.
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    5. Mai 2022
    Beiträge:
    1.880
    Danke erhalten:
    786
    Danke vergeben:
    296
    Was ist mit den Cloudshops? Wir erkennt man ob ein Cloudshop infiziert ist?
     
  10. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Das liegt auf Seiten Gambio. Wenn da was infiziert ist, ist es bereits in Arbeit oder erledigt. Cloudbetreiber müssen sich nicht weiter kümmern.
     
  11. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.580
    Danke erhalten:
    238
    Danke vergeben:
    1.026
    Passt der neue Inhalt noch zur beiliegenden Installationsanleitung?
    Vorher war ja nur Dateien rüberkopieren und fertig aber jetzt hat es auch Ordner / Dateien für den "gambio_updater".
     
  12. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Der Updater ist nur eine Versionsquittung, damit man nachvollziehen kann, dass der Patch installiert wurde.
    Der Shop wird automatisch offline gesetzt und man wird nach dem Einloggen sofort zum Updater umgeleitet.
     
  13. Eisvogel

    Eisvogel Erfahrener Benutzer

    Registriert seit:
    4. April 2019
    Beiträge:
    149
    Danke erhalten:
    4
    Danke vergeben:
    122
    Ich habe vorhin das Update über den Gambio Store installiert (das war noch die erste, unvollständige Update-Version).

    Kann ich die aktualisierte Update-Version ebenso über den Gambio Store installieren? Dort wird mir im Moment nur das Update 2024-01 v1.0 angezeigt und dass dieses Update bereits intalliert ist (ich kann dieses Update also vom Store aus im Moment gerade nicht noch einmal installieren)
     
  14. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    @Eisvogel Wir bereiten gerade die neue Version für den Gambio Store vor. Da wird es dann auch ein Update geben, du kannst dann erneut installieren.
     
  15. mmatecki

    mmatecki Erfahrener Benutzer

    Registriert seit:
    24. Juni 2018
    Beiträge:
    737
    Danke erhalten:
    150
    Danke vergeben:
    75
    die Datei saofm.php habe ich gefunden. Kann das weg?
     
  16. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Nur diese Datei?

    In dem Fall besser Ticket aufmachen. Ein anderer Shop kann anders infiziert sein. Da könnte noch mehr liegen. Das muss geprüft werden.
     
  17. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.580
    Danke erhalten:
    238
    Danke vergeben:
    1.026
    Okay, aber dann stimmt die beiliegende Installationsanleitung ja nicht mehr.
    Vorher ging der Patch nur durch überspielen ohne Downtime / Shop offline, jetzt wird der Shop Offline geschaltet. Das sollte vielleicht in der Anleitung angepasst werden.
     
  18. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Schreibe bitte ein Ticket, damit wir die Datei ansehen können.
     
  19. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    11. Juli 2021
    Beiträge:
    436
    Danke erhalten:
    195
    Danke vergeben:
    143
    Als Cloudnutzer sehe ich aber ohnehin nur eine begrenzte Anzahl an Verzeichnissen über den FTP Zugang. Das gibt mir also nicht wirklich ein Sicherheitsgefühl.

    Seltsam,.. bei anderen getesteten Cloudshops öffnet sich eben nicht der Shop, wenn ich den o.g. Link eingebe. Bei mir schon.

    Na ob man das glauben kann? Mein Vertrauen zu Gambio ist gerade am Nullpunkt angelangt.
     
  20. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Wir werden die Anleitung anpassen, danke. Downloadlink wird sich nicht ändern. Also in den nächsten Stunden sollten alle die neue Version bekommen.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.