Neu WICHTIG: Behebung einer kritischen Sicherheitslücke in JTL-Shop 4 & 5

hula1499

Sehr aktives Mitglied
22. Juni 2011
5.401
1.325
Morgen,

betrifft die Sicherheitslücke lediglich die Datei /admin/io.php und wäre, durch einen reinen Austausch der Datei, die Sicherheitslücke geschlossen?
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
962
302
Ich finde das Patchmanagement auch reichlich mies und das erst nicht seit gestern.

von 5.1.4 > 5.1.5 "schlanke" 4500 Dateien.
 
  • Haha
Reaktionen: hula1499

MHillmann

Moderator
Mitarbeiter
11. Oktober 2018
1.356
519
Hallo,

wie im Newsletter beschrieben, sind alle Versionen betroffen. Die betroffene Stelle sieht in früheren Shop 4 Versionen wahrscheinlich ähnlich aus, man könnte sich also eine Shop 4.06 Patchdatei ansehen und den Fix übertragen.

Ich möchte aber an der Stelle nochmal ausdrücklich anmerken, dass es seit der 4.05 auch schon andere Sicherheitsfixes gab, ein Update auf die 4.06.20 bzw. besser noch ein Upgrade auf die neusten Shop 5 Version ist daher dringend anzuraten.

Viele Grüße
Michael
 
  • Gefällt mir
Reaktionen: JulianG

JulianG

Administrator
Mitarbeiter
14. November 2013
1.254
398
Ich finde das Patchmanagement auch reichlich mies und das erst nicht seit gestern.

von 5.1.4 > 5.1.5 "schlanke" 4500 Dateien.

Hi,

das ist zum Teil ein Fehler im Build-Prozess der Patchfiles, wie beim letzten Release. Im Fehlerbereich werden aber nur identische Dateien überschrieben. Das ist ein kleines Übel, welches leider nur durch komplexe Anpassungen behoben werden kann. Aktuell ist hier geplant, das für 5.2.1 zu korrigieren.
Es kann aber auch zum Teil korrekt sein bzw. auch noch nach dem Fix vorkommen. Patches sollen alle geänderten (und notwendigen) Dateien enthalten. Auch wenn wir für ein Release nur eine Datei ändern, können sich zwischen den Releases Bibliotheken geändert haben. Da liefern wir auch immer die neuesten dann aus und das kann auch schnell in die tausenden Dateien gehen.