Shopware veröffentlicht neues Sicherheitsupdate mit Version 5.5.8

Mit dem Update vom 8.4.2019 erhalten Nutzer von Shopware 5.x das aktuellste Sicherheitsrelease.

corinna engel lichtbild

Corinna Engel

Content Marketing Manager

Neben neuen Funktionalitäten und Verbesserungen beinhaltet Version 5.5.8 verschiedene Fehlerkorrekturen und Lösungen von Sicherheitsproblemen. Bei den behobenen Sicherheitslücken handelt es sich um: Nicht-persistente XSS*, authentifizierte DQL-Injection* und SQL-Injection*.

Die Anpassungen beinhalten unter anderem:

  • Header Ansichten korrigiert
  • Elasticsearch:
    • Filter des Lagerbestandes für Varianten behoben
    • Indexierungszeit bei der aktiven Suche von Varianten verkürzt
  • Anzeige von Warnungen bezüglich veralteter PHPVersion (niedriger als 7.2.x) im Installer und der Systeminfo
  • Anpassen responsiver Ansichten von Artikelmengen und Bestelldetails
  • Beheben von Fehlern im Backend
  • Seitenindexierung durch Google Bots verbessert: ausgeschlossene Seiten in der robots.txt werden nun nicht mehr indexiert

Eine vollständige Liste findet sich im Changelog.

 

Betroffen sind die Shopware Versionen 5.0.0 bis inklusive 5.5.7, für die das Update dringend zeitnah durchgeführt werden sollte. Version 5.5.8 kann über folgenden Link: Shopware 5.5.8 heruntergeladen oder per Auto-Updater installiert werden. Eine Aktualisierung über das Shopware Sicherheits-Plug-In (Version 1.1.15) ist ebenfalls möglich.

 

Benötigen Sie Unterstützung oder langfristigen Support mit Betrieb und Wartung Ihres Shopsystems, kontaktieren Sie uns.

Jetzt unverbindlich Support anfragen

 

*Begriffe:

Das nicht-persistente (non-persistent) Cross-Site-Scripting verweist auf Angriffe, bei denen Schadcode nur temporär bei der jeweiligen Generierung der Website eingeschleust wird, um etwa sensible Kundendaten auszulesen.

Authentifizierte DQL-Injection (Documentum Query Language) beschreibt einen auf Parametern basierter Eingriff in die Kommunikation der verwendeten Datenbank(en) mit dem Server zum Auslesen von beispielsweise Details der Serverkonfiguration.

SQL-Injection (Structured Query Language) oder auch SQL-Einschleusung versucht in die Kommunikation mit SQL-Datenbanken einzugreifen und eigene Datenbankbefehle an mangelhaft gesicherte Benutzereingaben anzufügen. Datenauslese oder Kontrollverlust über den Server können die Folgen sein.

 

 

Quelle: Shopware Changelog