Neu Wawi Sicherheitslücke geschlossen? Details?

John · 18. März 2024

Gibts zu der Sicherheitslücke Details?

https://issues.jtl-software.de/issues/WAWI-75613

Ich möcte abschätzen, wie wichtig das Update ist...

JohnFrea · 21. März 2024

...kann dazu mal bitte jemand Stellung nehmen?

Ist das kritisch?

recent.digital · 21. März 2024

Am besten direkt mit JTL über ein Ticket klären, es ist nicht sinnvoll alle Details im öffentlichen Forum zu posten. Wir werden auch so vorgehen.

JohnFrea · 21. März 2024

Ne. Dann hat niemand außer dem Ticketersteller etwas davon.

Michael Spaltmann · 22. März 2024

Hi,

wie recent.digital schon geschrieben hat, möchte ich nur sehr ungerne öffentlich breittreten um welche Library es sich im Detail handelt - das würde einem potenziellem Angreifer die Arbeit erheblich erleichtern. Ich bitte hier um Euer Verständnis.

Ich habe absolutes Verständnis wenn man nicht jedes unserer Releases mitnimmt - gerade bei vielen Clients. Warum updaten wenn das System doch macht was es soll? Auch Hotfixes die evtl. Module betreffen, die man selbst nicht nutzt kann man sich ggf. sparen und nimmt dann halt das nächste Release mit, wo wirklich Funktionen oder Fixes drin sind die man braucht.

Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Edit: Um die Frage "Lohnt sich das?" zu beantworten: Securityupdates lohnen sich nie - bis sie sich gelohnt hätten.

Viele Grüße Michael

Verkäuferlein · 22. März 2024

Zitat von Michael Spaltmann:
Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Nur um mal eine ungefähre Einschätzung der Brisanz zu haben und es auch für den Otto-Normal-Nutzer verständlicher zu machen, wie drigend ein Update möglicherweise ist:

In welchem Szenario ließe sich denn diese Sicherheitslücke der Library überhaupt ausnutzen?
Nur bei direktem (Schreib-)Zugriff auf die lokalen Rechner bzw. das lokale Netzwerk, sobald der Rechner am Internet hängt oder nur bei speziellen Konstellationen?

P.s.: Vielleicht sollte man den Thread auch besser in den nicht öffentlichen Bereich verschieben.

Shop-Schmied · 22. März 2024

Ich werde nicht ganz schlau aus dem Issue Tracker. Welche WAWI-Versionen waren denn davon betroffen und sollten daher ein Update erhalten? Dort sind ja nur sog. "Zielversionen" zu finden ... was bedeutet das?

wawi-dl · 23. März 2024

Alle, seitdem es diese Bib gibt?

Shop-Schmied · 23. März 2024

Ja, da ich nicht weiß welche Bib... weiß ich auch nicht, seit wann es die gibt🙈.

JohnFrea · 27. März 2024

Was ist eigentlich mit 1.5 und 1.6?
Nicht betroffen oder nicht gepatched weil abgekündigt? Ist 1.6 überhaupt abgekündigt?

recent.digital · 27. März 2024

In Zukunft, ab 1.9. werden die letzten beiden Stable unterstütze.

Das würde dann 1.8 und 1.9 bedeuten - alle anderen wären abgekündigt.

Ich hab jetzt nicht explizit nachgeschaut, daher ohne Gewähr.

JohnFrea · 27. März 2024

Laut eMail vom 16.01.2024 von JTL zum Thema Abkündigungen ist 1.5 erst zum 31.07.2024 abgekündigt.
Also nicht vom aktuellen Problem betroffen?
@Michael Spaltmann

Michael Spaltmann · 27. März 2024

Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael

Shop-Schmied · 27. März 2024

Zitat von Michael Spaltmann:
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael

Diese Information jetzt genügt ja, um eine informierte Entscheidung zu treffen.

Forum	Antworten	Datum
Neu Wawi 1.9.4.0 Ausgabe ohne Funktion	JTL-Wawi - Fehler und Bugs	1	Gestern um 12:15 Uhr
Fehlermeldung bei JTL-Connector/JTL-Wawi	WooCommerce-Connector	1	Donnerstag um 12:45 Uhr
JTL WaWi Download nicht möglich	JTL-Wawi 1.8	3	Donnerstag um 07:42 Uhr
Neu Shopware 5 Bilder werden nicht übertragen nach Update auf Wawi 1.7.15.6	Shopware-Connector	0	Mittwoch um 22:33 Uhr
Neu Wie kann ich mit der Wawi Ebay Rechnungen erstellen und nach ebay hochladen?	eBay-Anbindung - Fehler und Bugs	3	Dienstag um 16:57 Uhr
Neu 👉 JTL-Wawi 1.9 Open Beta Release - Aktuell 1.9.4.0	Releaseforum	1	Montag um 12:16 Uhr
Artikel per Ameise mehreren Kategorien zuordnen - Artikeldatenimport in WaWi nicht mehr vorhanden	JTL-Wawi 1.8	6	18. April 2024
Artikelbeschreibung standardisiert von JTL-Wawi ziehen - Positionsname	JTL-Wawi 1.8	11	18. April 2024
Neu Der Shop schickt die Aufträge nicht mehr an die Wawi	JTL-Shop - Fehler und Bugs	1	18. April 2024
Verwendung der Statistik in Wawi 1.8:	JTL-Wawi 1.8	3	18. April 2024
Download Wawi Version 1.8.5.1	JTL-Wawi 1.8	5	18. April 2024
Neu Änderung Kundennummern in WaWi - welche Auswirkungen?	Gelöste Themen in diesem Bereich	3	16. April 2024
Neu Datenmigration von anderer WaWi auf JTL-WaWi	Starten mit JTL: Projektabwicklung & Migration	12	15. April 2024
Beschaffung Bestandsplanung in JTL Wawi 1.8.10	JTL-Wawi 1.8	0	15. April 2024
Neu Workflow bei Login in WMS / WAWI starten	User helfen Usern - Fragen zu JTL-Wawi	10	11. April 2024
Neu JTL POS wird nicht an WaWi angebunden	Einrichtung / Updates von JTL-POS	2	10. April 2024
Neu JTL Shop 5 Daten - In "leere" JTL Wawi Datenbank importieren - Ist das möglich?	User helfen Usern - Fragen zu JTL-Wawi	8	10. April 2024
Neu Woocomnerce Aufträge werden in WAWI erstellt aber nicht als bezahlt markiert	Gelöste Themen in diesem Bereich	3	9. April 2024
Neu ecomdata down? Hosting JTL Wawi nicht erreichbar	User helfen Usern - Fragen zu JTL-Wawi	46	8. April 2024
Kennzahlen Übersicht für JTL Wawi - Wirtschaftliche Auswertung	JTL-Wawi 1.8	0	6. April 2024
[JTL-WAWI API] MandatoryApiScopes / OptionalApiScopes	JTL-Wawi 1.8	3	5. April 2024
Neu Migration Shopware 5 auf 6 mit JTL-Wawi ohne Datenverlust	Shopware-Connector	1	5. April 2024
Neu Datenumzug von Xentral ERP Software auf JTL-Wawi	Schnittstellen Import / Export	4	4. April 2024
Neu Suche Download JTL WAWI 1.3.20.0	User helfen Usern - Fragen zu JTL-Wawi	8	4. April 2024
[JTL-WAWI API] Bestellung mit Stücklistenartikel	JTL-Wawi 1.8	5	4. April 2024
Neu JTL-Wawi 1.9 Open Beta	User helfen Usern - Fragen zu JTL-Wawi	6	4. April 2024
Neu Verkaufspreis Differenz Shop und Wawi	JTL-Shop - Fehler und Bugs	4	3. April 2024
Wie kann ich etwas in der WAWI Datenbank per SQL ändern?	JTL-Wawi 1.8	2	3. April 2024
Testmandantenumgebung in Wawi als Duplikat vom Echtzeitmandanten erstellen?	JTL-Wawi 1.8	5	3. April 2024
In Diskussion Zahlungsart Kartenzahlung bleibt in Wawi als Auftrag ohne Rechnung	Allgemeine Fragen zu JTL-POS	4	3. April 2024
Grundeinstellung WaWi Gramm statt Kilogramm	JTL-Wawi 1.8	3	2. April 2024
Neu Was steckt hinter der Zahl von 53 Bildern auf Ebay bei Variationsartikeln (und einer unsinnigen Fehlermeldung der Wawi)?	JTL-Wawi - Fehler und Bugs	2	31. März 2024
Neu JTL Wawi [1.5.33] Startet nicht mehr	JTL-Wawi - Fehler und Bugs	8	31. März 2024
Neu Wechsel WAWI Hosting von JTL mit RDP auf ecomDATA	User helfen Usern - Fragen zu JTL-Wawi	2	26. März 2024
WAWI 1.8.12.0 stürzt ab, wenn die Verbindung zur Datenbank unterbrochen wurde	JTL-Wawi 1.8	21	20. März 2024
Neu Neue Oberfläche Wawi 1.8.12.2 (Beta)	JTL-Wawi - Ideen, Lob und Kritik	0	19. März 2024
Neu Suche jemanden BmeCat´s in Wawi	Dienstleistung, Jobs und Ähnliches	2	18. März 2024
Neu Update des JTL shops aus der Wawi funktioniert nicht	Allgemeine Fragen zu JTL-Shop	1	18. März 2024
Neu >Merchant Center Feld Textzeile welches wawi Feld	User helfen Usern - Fragen zu JTL-Wawi	3	18. März 2024
Neu JTL Wawi Bild-Upload unvollständig oder nur als mit meinem PC hochgeladen zu sehen	User helfen Usern - Fragen zu JTL-Wawi	2	16. März 2024
WaWi Preisuntergrenze für Artikel festschreiben	JTL-Wawi 1.7	4	15. März 2024
Artikelabgleich verlangsamt sich automatisch von Wawi	JTL-Wawi 1.8	2	15. März 2024
Kundenattribute aus Shop übernehmen und aus Wawi zurück an Shop übermitteln	Einrichtung JTL-Shop5	1	15. März 2024
Neu WaWi auf Mac	Installation von JTL-Wawi	3	14. März 2024
Neu Email Versand in JTL Wawi einstellen	User helfen Usern - Fragen zu JTL-Wawi	3	14. März 2024
Neu Produktdaten aus Shop zur Wawi	WooCommerce-Connector	9	13. März 2024
Neu Kunden aus Wawi nicht auffindbar	JTL-POS - Fehler und Bugs	5	13. März 2024
Neu Fehler beim Zahlungsabgleich - Zahlungsmodul - Wawi 1.5.55.6	Gelöste Themen in diesem Bereich	14	13. März 2024
Neu Attribut wc_product_type in Wawi nicht vorhanden	Gelöste Themen in diesem Bereich	5	8. März 2024
Neu JTL-Wawi Logdatei Speicherort	JTL-Wawi - Fehler und Bugs	6	8. März 2024

Suche

Suche

Neu Wawi Sicherheitslücke geschlossen? Details?

John

Sehr aktives Mitglied

JohnFrea

Sehr aktives Mitglied

recent.digital

Offizieller Servicepartner

JohnFrea

Sehr aktives Mitglied

Michael Spaltmann

Moderator

Verkäuferlein

Sehr aktives Mitglied

Shop-Schmied

Sehr aktives Mitglied

wawi-dl

Sehr aktives Mitglied

Shop-Schmied

Sehr aktives Mitglied

JohnFrea

Sehr aktives Mitglied

recent.digital

Offizieller Servicepartner

JohnFrea

Sehr aktives Mitglied

Michael Spaltmann

Moderator

Shop-Schmied

Sehr aktives Mitglied

Ähnliche Themen