patch_secu

Angesichts eines Sicherheitsproblems, das uns gemeldet wurde, veröffentlichen wir heute verschiedene Wege für unsere Benutzer und Partner, um einen Shop zu sichern:

  • Neue Versionen von PrestaShop 1.4.x und 1.5.x. Version 1.6.1.0 ist sicher.
  • Patch-Dateien für die neuesten Versionen aller Zweige – 1.4.11.0, 1.5.6.2 und 1.6.0.14.
  • Das Sicherheits-Patch-Modul, welches in der Anwendung der oben genannten Patch-Dateien viel benutzerfreundlicher ist.
  • Zip-Dateien der veränderten Dateien für die Zweige 1.4, 1.5 und 1.6.


Wir raten Ihnen, entweder Ihren Shop auf die aktuellste Version Ihres derzeitigen Zweiges zu aktualisieren (1.5.6.3 und 1.4.11.1 wurden kürzlich veröffentlicht) oder die Reparaturen anzuwenden, die wir Ihnen zur Verfügung stellen (siehe Link unten).

Version 1.5.6.3 repariert auch 17 andere Probleme: sehen Sie hier die Liste der Änderungen.
Version 1.4.11.1 repariert auch 7 andere Probleme: sehen Sie hier die Liste der Änderungen.

Bitte lesen Sie sich den gesamten Artikel aufmerksam durch. Vielen Dank.

Welche Versionen sind betroffen?

Das erkannte Sicherheitsproblem betrifft alle Versionen von PrestaShop außer Version 1.6.1.0 und PrestaShop Cloud.

Somit betrifft es die Zweige 1.4.x, 1.5.x und 1.6.x bis 1.6.0.14.

Kurz gesagt: Wenn Sie Ihren Shop noch nicht auf PrestaShop 1.6.1.0 aktualisiert haben, ist es wahrscheinlich, dass er für dieses Problem anfällig ist.

Designs und Module sind nicht betroffen und sollten funktionieren, sobald Sie die Reparatur installiert haben.

Wie kann ich meinen Shop / die Shops meiner Kunden reparieren?

Wir bieten Jedem, der noch nicht auf PrestaShop 1.6.1.0 aktualisiert hat, verschiedene Wege, das Problem zu beheben:

  • Für Menschen, die sich technisch weniger gut auskennen, haben wir das Sicherheits-Patch-Modul entwickelt, welches die Reparatur auf die neuesten Versionen des 1.4, 1.5 und 1.6 Zweiges anwendet. Dies bedeutet, dass es garantiert für PrestaShop 1.4.11.0, 1.5.6.2 und 1.6.0.14 funktioniert.
    Das Modul funktioniert für alle drei Zweige: Sie brauchen es nur zu installieren und aktivieren, damit es den Patch anwendet!
  • Jeder, der sich technisch besser auskennt oder für den das Modul den Patch nicht anwenden kann, kann sich auf GitHub einen Patch für die neueste Version jedes Zweiges (1.4, 1.5, 1.6) herunterladen (klicken Sie hier, um zu den Links zu gelangen).
    Wie das Modul funktionieren auch diese Patches nur mit der neuesten Version jedes Zweiges, also ausschließlich mit 1.4.11.0, 1.5.6.2 und 1.6.0.14 – außer Sie nehmen selbst Änderungen vor.
    Falls Ihr Shop nicht auf dem neuesten Stand des aktuellsten Zweiges (1.6) ist, raten wir Ihnen dringend, auf die neueste Version Ihres Zweiges zu aktualisieren, bevor Sie den Patch anwenden.
    Falls Sie nicht aktualisieren können, müssen Sie die Patch-Datei selbst an Ihre spezielle Situation anpassen.
  • Sie können außerdem die aktualisierten Datei-Archive für die Zweige 1.4, 1.5 und 1.6 herunterladen. Sie enthalten nur die Dateien, die seit der letzten Version jedes Zweiges geändert wurden. Klicken Sie hier, um zu den Links zu gelangen.
    Falls Sie nicht selbst Änderungen an diesen Dateien vorgenommen haben, können Sie Ihre alten Dateien einfach durch die neuen ersetzen.

Zu guter Letzt: Die 1.5.x und 1.4.x Zweige wurden aktualisiert. Ab heute können Sie PrestaShop 1.5.6.3 und 1.4.11.1 auf der Download-Seite für ältere Versionen herunterladen.

Da die Version 1.6.1.0 die Reparatur für den 1.6 Zweig enthält, veröffentlichen wir keine Version 1.6.0.15. Bitte aktualisieren Sie Ihren Shop!

Das Modul wendet die Patches für jeden Zweig an und wurde entwickelt, um für die neuesten Versionen zu funktionieren: 1.6.0.14, 1.5.6.2, 1.4.11.0. Somit funktioniert es vielleicht nicht für ältere Versionen. Falls dies bei Ihnen der Fall ist, finden Sie hier eine kurze Anleitung, wie Sie den Patch manuell anwenden können.

Im Allgemeinen empfehlen wir Ihnen, Ihren Shop immer mit den aktuellsten und sichersten Versionen von PrestaShop auf dem neuesten Stand halten: im besten Fall 1.6.1.0; zur Not die aktuellste Version der Zweige 1.5 oder 1.4.

Für diejenigen, die die Kerndateien stark verändert haben: Bitte treffen Sie Vorsichtsmaßnahmen, bevor Sie die Module installieren, die Patches zusammenfügen oder die veränderten Dateien hochladen! Möglicherweise müssen Sie den Patch an Ihre spezielle Installation anpassen.

Bitte beachten Sie, dass das Modul nicht mit allen Windows-Serverkonfigurationen funktionieren wird, wie auch mit manchen Linux-Konfigurationen. In diesen Fällen müssen Sie den Patch selbst an Ihre spezielle Konfiguration anpassen. Bitte beachten Sie die Anweisungen in dieser Textdatei.

Ich benutze eine alte Version von PrestaShop – was kann ich tun?

Das Modul funktioniert für die aktuellen Versionen der 1.4, 1.5 und 1.6.0 Zweige. Ältere Versionen dieser Zweige sollten auch funktionieren, wobei die ältesten jedoch Probleme verursachen können.

Das Modul funktioniert nicht für PrestaShop 1.0, 1.1, 1.2 oder 1.3.

Falls Sie eine ältere Version von PrestaShop besitzen, empfehlen wir Ihnen, Ihren Shop zu aktualisieren. Sie sollten mindestens die PrestaShop Version 1.4 besitzen, da für ältere Versionen keine neues Updates mehr angeboten werden – für den 1.3 Zweig wurde beispielsweise seit März 2011, also seit mehr als vier Jahren, kein Update mehr veröffentlicht.

Wir verstehen, dass manche von Ihnen jedoch noch eine alte Version verwenden. Deshalb haben wir kürzlich einen Artikel veröffentlicht mit 4 einfachen Schritten, mit denen jeder seinen Shop sichern kann.

Zusammengefasst sind die 4 Schritte, mit denen Sie Ihren Shop sichern können:

  • Halten Sie Ihren Shop und all Ihre Module mit der aktuellsten Version auf dem neuesten Stand.
  • Schützen Sie Ihren Back Office Ordner mit einem .htaccess Passwort.
  • Benutzen Sie einen einfallsreichen Namen für Ihren Back Office Ordner (z. B. etwas Ausgefalleneres als /admin1234).
  • Benutzen Sie komplexere Passwörter, oder sogar Passphrasen, die einzigartig für Ihren Shop sind.

Bitte lesen Sie jetzt den gesamten Artikel!
Anweisungen, die leichter anzuwenden sind, finden Sie auf unserer „Erhöhen Sie die Sicherheit Ihrer PrestaShop Installation“ Dokumentationsseite.

Falls Sie die Reparatur an Ihrem Shop wirklich selbst durchführen möchten, können Sie versuchen, dabei unsere kurze Anleitung für die manuelle Anwendung des Patches zu befolgen.

Wo liegt das Problem?

Das Problem, das gefunden wurde, betrifft die Zufälligkeit des Passwort-Generierungsalgorithmus. In der Folge könnte ein böswilliger Hacker Zugriff zu dem Back Office eines Shops erlangen.

Der mögliche Angriff ist nicht unbedeutend und wir möchten auf der sicheren Seite sein.

Wie wurde das Problem gefunden und gelöst?

Das Problem wurde von Sicherheitsberater Vincent Herbulot (@us3r777) gefunden, der uns gemäß des „verantwortungsvolle Offenlegung“-Modells eine E-Mail an security@prestashop.com geschickt hat. Vielen Dank, Vincent!

Das Problem wurde von unserem eigenen Sicherheitsteam und mit Hilfe von Vincent behoben. Das Modul wurde von unseren Kernentwicklern erstellt.

Was ist verantwortungsvolle Offenlegung?

Verantwortungsvolle (und private) Offenlegung ist eine standardmäßige Vorgehensweise, wenn jemand ein Sicherheitsproblem bemerkt: Bevor die Person, die es bemerkt hat, das Problem veröffentlicht, weist sie das Kernteam darauf hin, sodass eine Reparatur vorbereitet und somit der potentielle Schaden minimiert werden kann.

Das PrestaShop-Team gibt sich die größte Mühe, Sicherheitsprobleme zu vermeiden. Trotzdem können unbemerkt kritische Probleme entstehen.

Aus diesem Grund haben wir die E-Mail-Adresse security@prestashop.com eröffnet: Jeder kann uns privat kontaktieren und uns von Problemen berichten, die die Sicherheit von PrestaShop Händlern und Kunden betreffen. Unser Sicherheitsteam wird Ihnen antworten und einen Zeitrahmen mit Ihnen vereinbaren, in welchem Sie die Einzelheiten des Problems veröffentlichen können.

Ein Sicherheitsproblem zu verstehen, bedeutet, zu wissen, wie der Hacker eindringen und sich in die Seite hacken konnte. Falls solche Kenntnisse besitzen, bitten wir Sie, uns privat zu kontaktieren (und diese Einzelheiten nicht zu veröffentlichen). Falls Sie nicht wissen, wie der Hacker eindringen konnte, bitten Sie in unseren Support-Foren um Hilfe.

Wie geht PrestaShop bei Sicherheitsproblemen vor?

Dank unserer kürzlichen Übernahme eines SemVer-ähnlichen Versionensystems und der ständigen Verbesserung des 1-Click Moduls sind wir sicher, dass die zukünftigen Patch-Versionen von PrestaShop sehr einfache Upgrades für alle Benutzer sein werden. Patch-Versionen sind für rückwärtskompatible Fehlerbehebungen und Sicherheitsprobleme, und Sicherheitsreparaturen sollen sofort, nachdem diese repariert wurden, veröffentlicht werden.

Mithilfe stärkerer interner Protokolle für Sicherheitsveröffentlichungen sind wir uns sicher, dass, sollten zukünftig Sicherheitsprobleme bei PrestaShop entstehen, unser Team viel schneller Reparaturen veröffentlichen kann und Upgrades für alle Shops, die auf dem neuesten Stand sind, sicherer gestalten kann.

Wir bei PrestaShop setzen uns für die Sicherheit Ihrer Shops und Ihrer Kunden ein und nehmen Sicherheit sehr ernst. Vielen Dank für Ihr Verständnis bezüglich dieser aktuellen Probleme – und vielen Dank für die rasche Aktualisierung aller Shops, für die Sie verantwortlich sind!

Gerne senden wir Ihnen Artikel wie diesen per E-Mail!

Melden Sie sich an und wir senden Ihnen die neuesten E-Commerce-Nachrichten sowie Tipps und Tricks direkt an Ihr E-Mail-Postfach. Anmelden

ShareTweet about this on TwitterShare on Google+1

Einen Kommentar hinterlassen

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>