Liebe Shopbetreiber, wir haben soeben ein neues Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern mit der oben genannten betroffenen Shopversionen dringend empfehlen. Wichtig: Nutzer der Gambio Cloud müssen nichts unternehmen, alle Shops wurden bereits vollständig von uns abgesichert! Der neue Security Patch beinhaltet auch den vorherigen Security Patch "Security Update 2024-01 v1.0.1 für GX4 v4.6.0.1 bis v4.9.2.0" in verbesserter Form, daher steht dieser nicht mehr separat zur Verfügung. Wir wissen von keiner aktiven Ausnutzung der Schwachstellen in einem Shop. Mit diesem Security Update werden sicherheitsrelevante Verbesserungen vorgenommen, die als "kritisch" eingestufte Risiken beseitigen. Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten. Das Security Update steht im Gambio Store unter "Modules" als Update bereit oder kann unter folgendem Link auch direkt heruntergeladen werden: Security Update 2024-02 v1.0.0 für GX4 v4.0.0.0 bis v4.9.2.0 Ein Login ins Kundenportal ist dafür nicht nötig.
Wird es dieses Mal eine Infomail an Shopbetreiber geben, die nicht ins Forum gucken oder (eher unauffällige) Meldungen im Adminbereich übersehen?
Guten Morgen zusammen! Lieber Michael, Du schreibst dass das alte Security Update 2024-01 v1.0.1 nun auch in diesem enthalten ist. Im alten Security Update (Security Update 2024-01 v1.0.1) war noch ein Patch für die Datei "themes/xxx/html/system/address_book_parcelshopfinder_result.html" enthalten. Diese fehlt nun!? Grüße Walter
Hallo Walter, im Security Update 2024-02 v1.0 schließt alle Sicherheitslücken, die auch das Security Update 2024-01 v1.0.1 schließt. Die Lücke, die partiell durch die Datei(en) themes/xxx/html/system/address_book_parcelshopfinder_result.html geschlossen wurde, wird nun über die Datei GXModules/Gambio/SecurityUpdate202402/Shop/Overloads/ParcelshopfinderController/SearchParameterRemover.inc.php geschlossen. Wir haben uns für diesen neuen Fix entschieden, weil er eine bessere Abwärtskompatibilität bietet und wir so mit einem einzigen Paket alle Versionen von 4.0.0.0 bis 4.9.2.0 abdecken. Ansonsten hätten wir viele verschiedene Versionen des Security Updates für die verschiedenen Shopsversionen veröffentlichen müssen. Ich kann dir aber versichern, dass die Sicherheitslücke ebenso zuverlässig geschlossen wird, nur eben auf eine andere Weise.
Hallo Daniel, danke für Deine Rückmeldung. Uns war es einfach bei der ersten Sichtung aufgefallen dass nicht einfach nur 1:1 das alte Sicherheitsupdate im neuen integriert war. Grüße Walter
Installation über die Schnittstelle von @Dominik Späte nicht möglich, daher über ftp abgearbeitet und bisher keine Fehler entdeckt. wohl nicht. Darüber sollte letzte Woche entschieden werden und da auch diese Woche keine Mail rein kam, gehe ich davon aus, das es keine Rundmail geben wird.
Hallo, leider keine E-Mail Benachrichtigung von Gambio erhalten. Ich bin eher selten im Forum und auch die Meldung im Adminbereich ist zu unscheinbar, da hier nicht zwischen dem alten und dem neuen Update zu unterscheiden ist bzw. ersichtlich ist, das es eine wichtige Meldung zwichen der Werbung ist. Gambio-Team bitte unterrichtet uns bei solch wichtigen Dingen schnell und effektiv. Macht z. B. ein fettes rotes Icon an Eure Meldung im Adminbereich wo direkt ersichtlich ist was Sache ist. Allerdinsg bin ich auch nicht stündlich oder täglich im Adminereich ;-) Es ist doch wichtig den Shop schnell sicher zu machen. Ich bitte Euch schnellst möglich Euch auszutauschen und uns besser zu Informieren. Patch hat super funktioniert. Vielleicht wäre es möglich im Adminbereich eine Info anzuzeigen, z. B. bei der Versionsnnummer, wo erkenntlich ist, das die Sicherheitsupdates installiert sind. Das wäre eine große Hilfe für uns Admins mit selbst Hosting. VG Markus
Schlechte Idee, weil es theoretisch sein kann, dass jemand in betroffenen Dateien oder damit verbunden Anpassungen im Shop hat. Die würde es dann einfach killen. Ein Mailkanal für sicherheitsrelevante Infos wäre am einfachsten.
Na gut, dass ich zufällig mal wieder ins Forum geschaut habe. Meiner Meinung nach wäre ich solchen Fällen eine klarere Kommunikation und sei es per kurzer E-Mail, kundenfreundlicher.
Heißt ich kann das Update direkt über den Gambio Shop unter Gambio Store / Module installieren, auch wenn ich das alte Security Update bereits installiert hatte?
Besteht bei Shops mit 4.4.0.4, welche das Paketshop-Finder Modul nicht installiert haben, handlungsbedarf? Und falls ja, wird es da auch ein Security-Update geben?
Update erfolgreich über den Gambio Store installiert, aber auch dadurch an Leistung Verloren !? Warum markiert Ihr das nicht im Admin ROT das sollte keiner übersehen!
Ich habe deinen Shop gerade mit Lighthouse noch einmal geprüft und die Leistung ist bei 97, ich denke du hast direkt nach dem Update geprüft, wo der Cache noch leer war. Das ist natürlich nach einem Update immer erstmal so bis der Cache neu aufgebaut wurde.
@DOGS in the CITY Auch dein Shop hat bei Lighthouse großartige Ergebnisse. Das Sicherheitsupdate verändert überhaupt nichts an der Ladezeit, da Dateien überladen werden, die z.B. nicht auf der Startseite oder der Artikeldetailseite ausgeführt werden. Ich bin mir sicher, dass das nur direkt nach dem Update wenn der Cache noch nicht aufgebaut ist, andere Ergebnisse erzielt. Sobald der Cache wieder aufgebaut wurde, sind die Werte sehr gut.