Vielen Dank an Rico, das ist ja der Hammer. Hab vor zwei, drei Tagen das Skript hochgeladen und geprüft. Eben die neue Version gezogen und hochgeladen und beim Aufruf kriege ich ein "403 Forbidden". Was kann ich tun? Danke!
Bin ich blind, oder wo findet sich das Sicherheitspatch?? Ich finde nur Version Service Pack v26.03.0 15,91 MB - 02.03.26 im Kundenportal.
War ein Link in der ersten Warn-Email, erfolgreich durchlaufen. Ich sehe jedenfalls gerade keine Fehler. Aber auch nichts, dass das Patch erfolgreich eingespielt wurde. Ich sehe nur einen aktualisierten Zeitstempel bei den 3 oder 4 Dateien, die insgesamt geändert oder getauscht wurden.
Ganz schön spät; solltest mal das Script von Orange Raven laufen lassen um zu sehen ob du Glück hattest!
Naja, was heisst ganz schön spät? Nicht jeder sitzt jeden Tag auf den Emails und hat die Möglichkeit sich von überallaus auf den Server einzuloggen. Und nicht jeder kann es überhaupt selbst machen oder hat überhaupt von der erneuten Sicherheitslücke erfahren. Es wird wohl eh die absolute Minderheit sein, die ihren Shop bisher mit einem Patch hat sichern können. Am 27.03. wurde die Email versendet, es ist dazu Ferienzeit. Unabhängig davon, dass so ein Patch anscheinend auch noch fehlerhaft war.
Ich verstehe deine Urlaub Aussage aber als verantwortlicher schau ich immer mal rein ob was wichtiges dabei ist. Das kann man auch alle 1-3 Tage machen. Aber über 1 Woche oder fast 2 ist schon..... Aus meiner Sicht extrem fahrlässig. Ja das Patch war fehlerhaft für 24h . Ist aber inzwischen auffindbar und korrekt. Das Patch ist kein Update daher siehst keine neue Version Nummer oder so. Haste den Test von orange Raven genutzt? Wenn alles okay ist biste sehr wahrscheinlich nicht betroffen.
Und dann spielst du den Patch mit dem Mobile ein? Ich bin nicht betroffen. Mein Provider ist überaus empfindlich und hätte schon lange Alarm geschlagen.
Dein Provider scant nach Schadcode im allgemeinen. Die schlagen hier in diesem Fall nicht an, zumindest habe ich bisher keinen Fall gehabt. Und da sind gute Virenscanner dabei gewesen. Und ja, auch mit dem Handy kann man via ftp Dateien auf den Server laden.
Ja könnte ich. Ist kein Hexenwerk! Download und entpacken.dann 2 Optionen. FTP app oder Web ftp vom hoster Aber ich habe auch immer den kleinen lappi mit da ich nie weiß ob was passiert. Wie hätte dein hoster das den merken sollen? Würd mich interessieren
Naja, ich bin nicht so ambitioniert. Mein Mobile dient mir eigentlich nur zur allgemeinen Erreichbarkeit und für Notfälle. Ich habe zumindest nochmal auf dem Server geschaut, ob die von Gambio erwähnten Ordner/Dateien angelegt wurden. Sind sie nicht. Die Logs habe ich nicht kontrolliert, das überstrapaziert meine Kenntnisse. Ich bin schon froh, wenn ich die Updates ohne Fehler hinbekomme. Mein Hoster ist recht empfindlich, vor Allem wenn es um Gambio geht und wenn früher schon mal was war.
Das Script ist wie ein Update. 1 Datei hochladen Im Browser öffnen Fertig! Das bekommt jeder hin der auch Update machen kann
Ich finde es spannend, dass anscheinend von der Gambio-Seite das Thema Sicherheit bereits als abgeschlossen gilt, obwohl es weitere Lücken im System gibt, über die anscheinend keiner spricht oder sprechen will. Die Aussage „Bitte versteht, dass wir keine Details beschreiben werden, die Angreifern als Blaupause für einen Angriff dienen könnten.“ finde ich sehr schwierig, wenn nicht sogar inakzeptabel. Was glaubt ihr denn, wie einfach es ist, anhand dieses Fixes und des Core-Shops herauszufinden, was das Security-Update verändert hat, und dadurch Folgeangriffe bzw. Versuche, weitere Fehler zu finden, zu erleichtern? Hier fände ich eine direkte Kommunikation sowie eine entsprechende Diskussion und Analyse - auch unter Einbeziehung von Schwarmwissen - deutlich effektiver! Stattdessen wird wieder einfach zum normalen Tagesgeschäft übergegangen: Neue Funktionen und Gebühren werden kommuniziert, aber um die wichtigen Dinge wird sich nicht ausreichend gekümmert. Mit den heutigen technischen Möglichkeiten wundert es mich ehrlich gesagt, dass bisher nicht schon mehr passiert ist. Ich werde keine weiteren Details nennen, was wo ausnutzbar ist, sein könnte oder wäre - das kann heutzutage ohnehin jeder selbst herausfinden. Update: Ich habe jetzt als Neugierde einfach mal eine KI nach dem Sicherheitsvorfall von Gambio im März nachgefragt und sogar diese hatte direkt alle Details darüber wie vorgegangen wurde was gepatcht wurde usw. Deshalb sehe ich das Verschweigen der Details als eindeutig inakzeptabel.
Keinerlei Kommentar von mir zu "muss man sofort reagieren" oder ähnliches. Jeder hat da einen anderen Arbeitsansatz und muss das für sich entscheiden. Diesen Satz hier musst du dir aber unbedingt aus dem Kopf schlagen. Du bist bei all-inkl wenn ich das richtig sehe. Wenn du nicht einen gesonderten Vertrag hast (den all-inkl. meines Wissens nach als ein sehr sehr großer Hoster nicht anbietet) oder eine Agentur als Dienstleister, dann nutzt dir der Standardvirenscanner absolut gar nichts. Da meldet sich kein Hoster. Da ist viel automatisiert und keine Person an sich hat auf dem Schirm, dass da ein Gambio Shop liegt. Und wenn Kundendaten abfliesen, dann bist allein du rechtlich verantwortlich. Nicht dein Hoster.