Wichtiges Security Update 2024-01 v1.0 für GX4 v4.6.0.1 bis v4.9.2.0

Thema wurde von Michael (Gambio), 24. Januar 2024 erstellt.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. WinHelp GmbH

    WinHelp GmbH Erfahrener Benutzer

    Registriert seit:
    2. April 2019
    Beiträge:
    79
    Danke erhalten:
    26
    Danke vergeben:
    20
    @Till (Gambio) Hoffe, das ist bei dir richtig eingetütet. Ich habe mir mal das Update angesehen.

    Ich habe einen Vorschlag für den GProtector: Aktuell werden die Filter-Dateien ja bei einem Update des Shops ggf. aktualisiert. Wäre es nicht sinnvoll, wenn sich der GProtector automatisch aktualisierte Dateien herunterladen könnte? Natürlich ist hier Infrastruktur notwendig, da je nach Shopversion unterschiedliche Dateien ausgeliefert werden müssten. Das hätte den Vorteil, dass die Shops sich selbstständig mit aktualisierten Filtern versorgen könnten.
     
  2. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    3. Juni 2019
    Beiträge:
    500
    Danke erhalten:
    86
    Danke vergeben:
    38
    #122 Anonymous, 31. Januar 2024
    Zuletzt bearbeitet: 2. Februar 2024
    nach dem update siehts jetzt schon mal so aus!
    Wer weiß was das ist?
    Bild_2024-01-31_134443266.png

    Der Shop zickt nach dem update irgendwie rum, bearbeitete Bestellungen setzen sich wieder auf Offen
     
  3. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    Das ist bereits implementiert und macht der GProtector bereits. Wir haben die Dateien nur ausgeliefert, damit die nicht auf den Server warten müssen bis die Datei aktualisiert wird, sondern sofort greift. Das ist das erste was wir gemacht haben die neue JSON Datei vom GProtector auf dem Server aktualisiert, damit alle Shops diese bekommen.
     
  4. WinHelp GmbH

    WinHelp GmbH Erfahrener Benutzer

    Registriert seit:
    2. April 2019
    Beiträge:
    79
    Danke erhalten:
    26
    Danke vergeben:
    20
    Das erklärt jedenfalls warum wir auf unserem 4.4 Testsystem die Schwachstelle nicht ausnutzen konnten ;-)
    Ich ging davon aus, dass ich im Wahn meiner Patches den 4.4er mit aktualisiert habe.

    Danke ;-)
     
  5. Walter Lenk

    Walter Lenk Erfahrener Benutzer

    Registriert seit:
    28. September 2011
    Beiträge:
    559
    Danke erhalten:
    253
    Danke vergeben:
    89
    :D Sehr treffend formuliert.

    Grüße
    Walter
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    3. Juni 2019
    Beiträge:
    500
    Danke erhalten:
    86
    Danke vergeben:
    38
    nach dem update siehts jetzt schon mal so aus!
    Wer weiß was das ist?
    (Link nur für registrierte Nutzer sichtbar.)

    Der Shop zickt nach dem update irgendwie rum, bearbeitete Bestellungen setzen sich wieder auf Offen
     
  7. Totti-Amun

    Totti-Amun Erfahrener Benutzer

    Registriert seit:
    24. August 2011
    Beiträge:
    221
    Danke erhalten:
    24
    Danke vergeben:
    76
    Kurze Zwischenfrage:
    Das Update ist nur nötig, wer dieses ominöse DHL Modul nutzt?
    Wenn nicht, kann man das alles ausblenden?

    Danke und Gruß

    Totti
     
  8. marcel_halbich

    marcel_halbich Erfahrener Benutzer

    Registriert seit:
    30. April 2017
    Beiträge:
    222
    Danke erhalten:
    11
    Danke vergeben:
    46
    Soweit ich das verstanden habe, betrifft das alle Shops, auch die, die das Modul nicht nutzen
     
  9. hartwigbusse

    hartwigbusse Erfahrener Benutzer

    Registriert seit:
    10. Dezember 2014
    Beiträge:
    1.179
    Danke erhalten:
    264
    Danke vergeben:
    426
    #129 hartwigbusse, 6. Februar 2024
    Zuletzt bearbeitet: 6. Februar 2024
    Nach dem hochladen komme ich nicht mehr in den Shop rein.
    Habe versucht ein Backup einzuspiellen, komme weiterhin nicht in den Shop.
    Support-Ticket #101716543
    Edit:
    Das Backup hat gewirkt. Habe den Caches im FTP gelöscht. Der Shop ist wieder da.
     
  10. WinHelp GmbH

    WinHelp GmbH Erfahrener Benutzer

    Registriert seit:
    2. April 2019
    Beiträge:
    79
    Danke erhalten:
    26
    Danke vergeben:
    20
    @hartwigbusse Wir hatten das auch bei der einen oder anderen Installation. Das Update lief korrekt durch, allerdings blieb die "update_needed.flag" im Cache liegen. Diese Datei sorgt dafür, dass er im Updater bleibt.
     
  11. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    274
    Danke erhalten:
    65
    Danke vergeben:
    80
    Das wäre letzte Woche gewesen. So wie es aussieht, wird sich wohl nichts ändern. Schade.

    Bei der Installation wird die Mailadresse für den Admin abgefragt. Bei kleinen Unternehmen ist das oft die Mailadresse wie im Impressum. Wenn dann noch das Passwort offen auf dem Server liegt, sehe ich das als kritisch an. Mehr braucht man ja nicht, um sich als Admin einzuloggen. Wenn Ihr das erst mit dem nächsten Update erledigen wollt, können viele gar nicht mit ziehen, da alle installierten Module auch kompatibel mit der "neuen" Version sein müssen.
    Von Januar bis Juni machen wir den meisten Umsatz im Jahr. Da habe ich keine Zeit mich mit Fehlern im Shop oder Umstellungen im Shopsystem zu kümmern und mich immer wieder neu einzuarbeiten.

    Mit dem letzten Update auf 4.8.0.2 mussten wir sogar die Warnhinweise in den Logs deaktivieren, da das System hier immer wieder Fehler produziert. Das war die Lösung von euch zum Ticket [#101703480]

    "vielen der Log Einträge kommen von Warnungen wegen PHP 8.1, diese werden
    mit einem zukünftigen Update behoben.

    Wenn du diese aktuell nicht mehr geloggt haben willst, dann können wir in
    der Datei /config/.env.php die Zeile 'LOG_WARNINGS' => false,
    eintragen. Bitte teile uns mit, wenn wir dies für dich vornehmen sollen."

    Diese Baustelle ist mit dem Update von 4.7. auf 4.8 entstanden.
    Das ich gerade keine Updates (außer Sicherheitsupdates) installiere, kann vielleicht nachvollzogen werden.

    Gruß

    Ingo
     
  12. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.167
    Danke erhalten:
    6.199
    Danke vergeben:
    1.104
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Das muss man auch erstmal abrufen können. Wer bis dahin kommt, braucht sicher keinen Admin Zugang mehr um schaden anzurichten, oder?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.