Wichtiges Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

Thema wurde von Michael (Gambio), 24. Januar 2024 erstellt.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Dann musst du was anderes als die Cloud nutzen, wenn du da mehr Kontrolle willst.

    Hat nichts zu heißen. Nicht anfangen Mäuse zu sehen, die nicht da sind. ;)

    Verständlich, aber in der Cloud hast du keine Alternative.
     
  2. mmatecki

    mmatecki Erfahrener Benutzer

    Registriert seit:
    24. Juni 2018
    Beiträge:
    737
    Danke erhalten:
    150
    Danke vergeben:
    75
    Support-Ticket #101711889
     
  3. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Eben eine Vielzahl an Kunden gepatcht. Auch bei Version 4.3, 4.4 und 4.5 konnte ich keine Fehlfunktionen nach dem Update feststellen. In diesen Shops habe ich allerdings auf das Ausführen des Updaters verzichtet. Nicht ideal, aber besser als die Lücke offenzulassen.

    @Till (Gambio) : Passt ihr diesbezüglich eigentlich auch die bestandsdownloads an? Also wenn jetzt jemand die 4.3 auf 4.6 ziehen will, ist dann in MU 4.4 und MU 4.6 schon der gepatchte Inhalt drin? In diesem Fall fände ich das notwendig, zumindest für die Versionen 4.6 - 4.9
     
  4. Frankenwald Hanf-Shop

    Frankenwald Hanf-Shop Erfahrener Benutzer

    Registriert seit:
    1. August 2019
    Beiträge:
    72
    Danke erhalten:
    14
    Danke vergeben:
    43
    Haben die Dateien die richtigen Rechte? 644
    Eigentlich 755
     
  5. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    644 ist meines Erachtens korrekt.
     
  6. Frankenwald Hanf-Shop

    Frankenwald Hanf-Shop Erfahrener Benutzer

    Registriert seit:
    1. August 2019
    Beiträge:
    72
    Danke erhalten:
    14
    Danke vergeben:
    43
    Im Shop haben die Controllers alle 755 | Gambio 4.4
     
  7. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Stimmt, die sind 755.
    Sollte beim Überschreiben aber passen. Kann man ja in Filzilla kurz nachschauen.
     
  8. Frankenwald Hanf-Shop

    Frankenwald Hanf-Shop Erfahrener Benutzer

    Registriert seit:
    1. August 2019
    Beiträge:
    72
    Danke erhalten:
    14
    Danke vergeben:
    43
    ne, wenn man die "schön" überschreibt, haben die files 644
     
  9. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Kann ich nicht bestätigen. Hab heute mehrere Shops gepatcht, alles io. 644 wo es sein soll und 755 wo es sein soll.
     
  10. Frankenwald Hanf-Shop

    Frankenwald Hanf-Shop Erfahrener Benutzer

    Registriert seit:
    1. August 2019
    Beiträge:
    72
    Danke erhalten:
    14
    Danke vergeben:
    43
    okay, sry... du hast natürlich Recht! mein Fehler
     
  11. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Wir werden das intern prüfen und in Erwägung ziehen ältere Pakete mit dem Sicherheitspatch auszustatten.
     
  12. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Wir untersuchen die Cloud Shops regelmäßig und fahren einige Analysen und werden bei Auffälligkeiten Maßnahmen ergreifen. Die Cloud Shops wurden bereits mit dem neusten Patch versorgt und darüber hinaus wurden Maßnahmen ergriffen um die Ausnutzung aktiv zu verhindern. Bisherige Analysen ergaben keine Auffälligkeiten in den Cloud Shops.
     
  13. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    274
    Danke erhalten:
    65
    Danke vergeben:
    80
    Ist von Seiten von Gambio auch mal geplant, Support-Kunden, die nicht aktiv im Forum sind, direkt mal anzuschreiben?
    Wäre auch toll, mal eine Mail mit allen Informationen zu erhalten. So muss sich jeder Selbsthoster in langen Forumbeiträgen und externen Ausführungen durchwurschteln.
    - Welche Schwachstelle ich wie schließe
    - wie erkenne ich, das ein Shop infiziert wurde

    Wäre auch toll zu wissen, was mit den anderen Sicherheitslücken ist.
    Zum Beispiel das in den LOG das Admin Passwort und Datenbankpasswort gespeichert wird.
    Da wir diese Log Datei nicht finden konnten, gehe ich mal davon aus, das es bei uns zu keinem Fehler beim Login gab.
    Aber man schaut wohl nicht täglich in den Logs via ftp....
    https://herolab.usd.de/en/security-advisories/usd-2023-0050/
     
  14. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Wir werden das nächste Woche besprechen wie wir das machen. Es wird auf jeden Fall daran gearbeitet die Kommunikation zu verbessern und auch alle Kunden entsprechend zu informieren.

    Die anderen Sicherheitsmeldungen sehen wir nicht so kritisch, da hier ein Admin Konto benötigt wird und werden diese mit dem nächsten Update dann korrigieren.
     
  15. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    274
    Danke erhalten:
    65
    Danke vergeben:
    80
    Dort steht das Passwort für den Admin drin.
    Ich stelle mir gerade die Frage, wieviel User eine gesonderte Mailadresse für die Anmeldung nutzen.
     
  16. MWVAT

    MWVAT Erfahrener Benutzer

    Registriert seit:
    25. Mai 2011
    Beiträge:
    147
    Danke erhalten:
    35
    Danke vergeben:
    8
    Seit dem ersten Update ist bei mir das Dropdown-Menü in den Bestellungen ewig lange und nicht mehr abgekürzt, man scrollt also nicht durch die Bestellstati sondern es kommt eine komplette Wurst bis zum Bildschirmrand - nicht einmal mit einem 31.5 Zoll und 1440p Monitor geht sich das aus.

    Hat noch jemand das Problem aus?
     
  17. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Ich bezweifle stark das das Problem erst durch den Sicherheitspatch entstanden ist, denn die Stelle wird im Sicherheitspatch an keiner Stelle verändert. Bitte reiche dazu ein Ticket mit mehr Informationen ein, damit wir uns das genauer ansehen können.
     
  18. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.580
    Danke erhalten:
    238
    Danke vergeben:
    1.026
    #78 Anonymous, 26. Januar 2024
    Zuletzt bearbeitet: 26. Januar 2024
    @MWVAT Kann ich bestätigen.
    Es ist das Dropdown was bei Status Änderungen erscheint. Hatte mich heute morgen schon irgendwie gewundert. War das schon immer so lang? Nee...kann nicht sein. Bis auf die Security Fixes wurde in Shop + Testshops nichts gemacht.
     
  19. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.580
    Danke erhalten:
    238
    Danke vergeben:
    1.026
    Anbei Screenshot, habe es in einem komplett cleanen Testshop ausprobiert. Es hat hier weder Fremdmodule noch sonstige Änderungen seit aufsetzen vor vielen Monaten. Nur der Security Patch ist installiert.

    Nicht weiter störend aber na ja, seltsam oder?
    Betrifft soweit ich es bislang sehe nur das Dropdown für Status Änderungen.

    Ist ein 4K Monitor aber die Liste geht halt bis ganz unten zum Rand wo sie zuvor eigentlich abgeschnitten und scrollbar wäre.
     

    Anhänge:

  20. Orange Raven

    Orange Raven Erfahrener Benutzer

    Registriert seit:
    3. April 2013
    Beiträge:
    377
    Danke erhalten:
    149
    Danke vergeben:
    52
    Das kann unmöglich am Sicherheitspatch liegen. Die im Screenshot gezeigten Einträge werden über die Datenbank erzeugt und sind dort hinterlegt. Genauer in der orders_status
    upload_2024-1-26_19-41-31.png

    Ich hege hier mal eher den Verdacht, dass hier Datenbankeinträge drin sind, die nicht hingehören. Also eventuell (nur als Vermutung) war an der Datenbank schon einer dran, der da nicht hin sollte.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.