Security Update 10/2021

Allgemeine Informationen

In diesem Sicherheitsrelease haben wir neben den gewohnten Fehlerkorrekturen und Optimierungen auch Sicherheitslücken der Bedrohungsstufen „gering“ bis "mittel" im Frontend schließen können.
Betroffen sind die Shopware Versionen von 5.0.0. bis 5.7.5 Folgende Sicherheitslücken, wurden mit diesem Sicherheitsupdate behoben:

  • SW-26367 - Authenticated stored XSS in SVG-Dateien verhindert

Um Dein System abzusichern, kannst Du nun zwischen den folgenden Optionen wählen:

Lösungen

apache Webserver

Wenn Du apache als Webserver verwendest, sollte deine .htaccess-Datei im Shopware-Stammverzeichnis folgende Sektion enthalten:


<IfModule mod_headers.c>
    <FilesMatch "\.(?i:svg)$">
        Header set Content-Security-Policy "script-src 'none'"
    </FilesMatch>
</IfModule>

Ist das noch nicht der Fall, ergänze die Sektion bitte händisch, oder installiere / aktualisiere das Security-Plugin.

Security Plugin installieren / updaten

  • Lade Dir das Shopware Sicherheits-Plugin in Version 1.1.25 über den Store herunter oder alternativ direkt über den Plugin-Manager im Backend.

  • Installiere und aktiviere das Plugin

Falls das Plugin bereits vorhanden ist, kannst Du das Plugin einfach über den Plugin-Manager updaten, um es auf den neuesten Stand zu bringen. Sollten Probleme auftreten, kannst Du über die Plugineinstellung einzelne Fixes deaktivieren.

Überprüfe bitte nach Installation oder Update alle wichtigen Funktionalitäten ins Besondere den Bestellprozess.

 

nginx Webserver

Wenn Du nginx als Webserver verwendest, erfolgt die Konfiguration nicht mittels der von uns gelieferten .htaccess.
Ergänze Deine Konfigurationsdatei in diesem Fall bitte wie folgt:


server {
    # ...

    location ~* ^.+\.svg$ {
        add_header Content-Security-Policy "script-src 'none'";
    }
}

War dieser Artikel hilfreich?