Security Update 01/2017

Allgemeine Informationen

Informationen zum Sicherheitsupdate

Für das am 23.01.2017 veröffentlichte Sicherheitsupdate stellen wir heute eine aktualisierte Version bereit, die über einen verbesserten Schutz auch bei individuellen Anpassungen von Shopware verfügt. Mit der ursprünglich bereitgestellten Lösung, Shopware 5.2.15 und dem HotFix-Plugin für ältere Versionen, ist es unter bestimmten Voraussetzungen möglich die Lücke weiterhin auszunutzen. Ein möglicher Angriffsvektor ist ein vollständig kopiertes Template, welches nicht sauber gemäß dem Shopware Standard abgeleitet worden ist. Damit auch dieses Szenario unterbunden werden kann, haben wir eine aktualisierte Version von Shopware und eine neue Version des HotFix-Plugins erstellt. Wir empfehlen die neueste Version von Shopware (5.2.16) oder die neue Version des HotFix Plugins (1.1.0) zu installieren. Überprüfe bitte zusätzlich, ob Du Themes oder Plugins einsetzt, die den folgenden Template Code ausführen oder überschreiben. Für diesen Fall empfehlen wir, an diesen Stellen die nachfolgenden Anpassungen in der abgeleiteten Template-Datei vorzunehmen.

Die betroffene Datei: elements.tpl.

Pfad Templatedatei Emotion Template: templates/_default/frontend/forms/elements.tpl
Pfad Templatedatei Responsive Template: themes/Frontend/Bare/frontend/forms/elements.tpl

Die komplette Zeile beginnend mit: {eval var=$sSupport.sFields[$sKey]... sollte mit dieser Zeile ausgetauscht werden:


{$sSupport.sFields[$sKey]|replace:'{literal}':''|replace:'{/literal}':''|replace:'%*%':"{s name='RequiredField' namespace='frontend/register/index'}{/s}"}

(Diese Anpassung wurde bereits mit der Shopware Version 5.2.15 umgesetzt.)

Theme und Plugin Entwickler

Alle Theme und Plugin Entwickler sind angehalten die entsprechenden Zeilen in allen angebotenen Themes oder Plugins auszutauschen.

Was soll ich machen?

  • Shopware Update auf 5.2.16 oder Aktualisierung des Plugins
  • Prüfung & Anpassung der genannten Code-Stelle in Plugins / Custom Themes oder Templates

Wichtiges Sicherheitsupdate

Allgemeine Informationen zum Sicherheitsupdate

Unter bestimmten Voraussetzungen ist es möglich, einen unautorisierten Fremdcode in Shopware auszuführen. Dies ist eine kritische Sicherheitslücke, die Auswirkungen auf das Gesamtsystem haben kann. Betroffen sind alle Shopware Versionen ab 4.0.0 bis einschließlich 5.2.14. Es ist zwingend erforderlich, das Sicherheitsupdate in jedem Shopware Shop einzuspielen.Unsere aktuell verfügbare Version 5.2.15 beinhaltet bereits das erforderliche Sicherheitsupdate. Das Update für 5.2.15 kannst Du regulär über den Auto-Updater beziehen oder direkt über unsere Download-Übersicht.

Alternative Möglichkeiten zur Absicherung:

Sollte es Dir nicht möglich sein, das Update auf die Version 5.2.15 durchzuführen (empfohlen), gibt es eine weitere Möglichkeiten, Dein System abzusichern.

Patch-Plugin

  • Lade Dir das Plugin SwagSecurityHotFix201701 herunter.
  • Logge Dich in Dein Shopware Backend ein und öffne den Plugin Manager
  • Klicke auf den Punkt "Installiert"
  • Klicke auf "Plugin Hochladen". Danach wähle die gerade heruntergeladene Datei SwagSecurityHotFix201701.zip aus und klicke auf "Plugin hochladen"
  • Abschließend musst Du das Plugin im Plugin Manager aktivieren.

War dieser Artikel hilfreich?