In diesem Update haben wir eine Sicherheitslücke der Bedrohungsstufe "niedrig" beheben können. Betroffen sind alle Shopware Versionen bis einschließlich 6.5.3.1. Folgende Sicherheitslücke wurde mit diesem Update behoben:
NEXT-29146 - Composer league/oauth2-server upgrade, to fix a known security issue in that library.
Dieses Problem besteht nur, wenn eine nicht standardmäßige Key-Konfiguration in Kombination mit einem ungültigen Schlüssel verwendet wird.
Der Schlüssel ist nur sichtbar, wenn Exceptions an den Client weitergeleitet werden. Allerdings könnte es unabhängig davon auch in Logs einsehbar sein.
Wir empfehlen ein Update von 6.5.x auf die Version 6.5.3.2 durchzuführen. Das Update kann direkt über den Auto-Updater bezogen werden.
Für ältere Versionen können die Konfigurationsdateien auf folgende Muster überprüft werden, um herauszufinden, ob man von dieser Sicherheitslücke betroffen ist.
shopware.yaml:
shopware:
api:
jwt_key:
private_key_path: '%env(base64:JWT_PRIVATE_KEY)%'
public_key_path: '%env(base64:JWT_PUBLIC_KEY)%'
oder
services.yaml:
services:
shopware.public_key:
class: League\OAuth2\Server\CryptKey
arguments: ["%env(base64:JWT_PUBLIC_KEY)%"]
shopware.private_key:
class: League\OAuth2\Server\CryptKey
arguments: ["%env(base64:JWT_PRIVATE_KEY)%"]
Bitte setze Dich mit deiner Agentur in Verbindung, wenn du diese Muster in deiner Konfiguration findest. Leider ist es für uns, aus technischen Gründen, nicht möglich eine allgemeine Lösung für Versionen älter als 6.5.0.0 anzubieten und es könnten individuelle Anpassungen für Deine Umgebung erforderlich sein.
War dieser Artikel hilfreich?
