Neu Wawi Sicherheitslücke geschlossen? Details?

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
680
152
Hi,

wie recent.digital schon geschrieben hat, möchte ich nur sehr ungerne öffentlich breittreten um welche Library es sich im Detail handelt - das würde einem potenziellem Angreifer die Arbeit erheblich erleichtern. Ich bitte hier um Euer Verständnis.

Ich habe absolutes Verständnis wenn man nicht jedes unserer Releases mitnimmt - gerade bei vielen Clients. Warum updaten wenn das System doch macht was es soll? Auch Hotfixes die evtl. Module betreffen, die man selbst nicht nutzt kann man sich ggf. sparen und nimmt dann halt das nächste Release mit, wo wirklich Funktionen oder Fixes drin sind die man braucht.

Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Edit: Um die Frage "Lohnt sich das?" zu beantworten: Securityupdates lohnen sich nie - bis sie sich gelohnt hätten.

Viele Grüße Michael
 
  • Gefällt mir
Reaktionen: Shop-Schmied, DASevents, Verkäuferlein und 2 andere

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.606
1.057
Zitat von Michael Spaltmann:
Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Nur um mal eine ungefähre Einschätzung der Brisanz zu haben und es auch für den Otto-Normal-Nutzer verständlicher zu machen, wie drigend ein Update möglicherweise ist:

In welchem Szenario ließe sich denn diese Sicherheitslücke der Library überhaupt ausnutzen?
Nur bei direktem (Schreib-)Zugriff auf die lokalen Rechner bzw. das lokale Netzwerk, sobald der Rechner am Internet hängt oder nur bei speziellen Konstellationen?

P.s.: Vielleicht sollte man den Thread auch besser in den nicht öffentlichen Bereich verschieben.
 
  • Gefällt mir
Reaktionen: John

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
400
77
Ich werde nicht ganz schlau aus dem Issue Tracker. Welche WAWI-Versionen waren denn davon betroffen und sollten daher ein Update erhalten? Dort sind ja nur sog. "Zielversionen" zu finden ... was bedeutet das?
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
899
284
Was ist eigentlich mit 1.5 und 1.6?
Nicht betroffen oder nicht gepatched weil abgekündigt? Ist 1.6 überhaupt abgekündigt?
 

recent.digital

Offizieller Servicepartner
SPBanner
8. Juli 2015
2.196
728
Wuppertal
In Zukunft, ab 1.9. werden die letzten beiden Stable unterstütze.

Das würde dann 1.8 und 1.9 bedeuten - alle anderen wären abgekündigt.

Ich hab jetzt nicht explizit nachgeschaut, daher ohne Gewähr.
 

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
680
152
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
 
  • Gefällt mir
Reaktionen: Shop-Schmied

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
400
77
Zitat von Michael Spaltmann:
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Diese Information jetzt genügt ja, um eine informierte Entscheidung zu treffen.
 
Du musst Dich einloggen oder registrieren um hier antworten zu können.
Ähnliche Themen
Titel Forum Antworten Datum
Neu 0,1% an der Kasse erstellte Kunden nicht synchronisiert mit JTL Wawi Allgemeine Fragen zu JTL-POS 0
Neu Welche SQL Server Version für WaWi 1.0.0.0.0 unter Windows 11 Installation von JTL-Wawi 6
Neu Wawi 2.0.... Hab ich was verpasst? ;-) Eigene Übersichten in der JTL-Wawi 1
Kein e-Mail Versand aus der Wawi - Fehlermeldung JTL-Wawi 1.11 10
Neu Download WaWi 1.0.0.0.0 Installation von JTL-Wawi 2
Neu Update WAWI 1.10.14.3 auf 1.11.4.0 Installation von JTL-Wawi 4
Wawi-Update cloudflare??? JTL-Wawi 1.11 5
Neu Wawi Abonnements, wie automatisiert vorgehen? best practice? Wawi 1.10.14.3 User helfen Usern - Fragen zu JTL-Wawi 0
Neu Wawi 0.9.9.923 zwecks Aufbewahrungspflicht auf Windows 11 PC umziehen Installation von JTL-Wawi 5
Neu SUCHE Freelancer für JTL WAWI Anbindung an WooCommerce und Einrichtung Dienstleistung, Jobs und Ähnliches 2
Neu JTL Wawi sendet keine aufzuschaltenden Artikel an Amzon Amazon-Anbindung - Fehler und Bugs 2
Neu Ist es korrekt, dass Belegdaten von Amazon (VCS) mit einer etwa 7-tägigen Verzögerung in WAWI landen? Amazon-Anbindung - Fehler und Bugs 3
Neu Ärger mit CountX: Verzögerung bei der Bearbeitung von VCS-Daten in WAWI führt zu unvollständigen Steuerdaten User helfen Usern - Fragen zu JTL-Wawi 0
Neu Nicht alle Artikel einer Bestellung werden an die WaWi übermittelt Amazon-Anbindung - Fehler und Bugs 3
FIFO oder LIFO in WAWI JTL-Wawi 1.10 2
Neu GELÖST! Amazon "Aufzuschaltende Angebote" seit Tagen in "wird gesendet" bei WAWI 1.11.3 Amazon-Anbindung - Fehler und Bugs 10
Fehler beim Verknüpfen von JTL-FFN mit Wawi – „Anmeldung nicht möglich“ JTL-Wawi 1.11 1
Neu Dokumentation: Kundenverknüpfung JTL-Wawi (Version 1.10.15.0) zu JTL-Shop JTL-Shop 5.2 Onlineshop-Anbindung 0
Einzelartikel als Kindartikel zu einem neuen Vaterartikel zusammenführen (JTL-Wawi + Shopware Connector) JTL-Wawi 1.8 0
Neu Handhabung JTL Wawi - zu Datev Unternehmen Online User helfen Usern - Fragen zu JTL-Wawi 1
Neu JTL-Wawi Aufträge die mit JTL-POS bezahlt wurde tauchen im Tagenabschluss auf JTL-POS - Fehler und Bugs 7
Neu Bitte legen Sie eine Retoure in JTL-Wawi an, damit eine korrekte Zuordnung zu den Stücklistenartikeln möglich ist. - WMS Retoure JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Wawi API REST-Server lässt sich nicht einrichten / Fehler 404 JTL-Wawi 1.11 1
Neu Kapazitäten frei für Routineaufgaben JTL Wawi Dienstleistung, Jobs und Ähnliches 0
Neu B2B Preis wird nicht an Amazon übergeben. Auch nicht WAWI intern User helfen Usern - Fragen zu JTL-Wawi 1
Datenabgleich von WooCommerce auf JTL Wawi 1.9.7.0 JTL-Wawi 1.9 0
JTL Wawi to ShopApotheke Artikelname eigenesfeld JTL-Wawi 1.11 16
Neu Wawi zu Shopify connector Funktionseinstellungen ändern Allgemeines zu den JTL-Connectoren 0
Sonderpreise werden vom Shop aus Wawi nicht übernommen JTL-Wawi 1.10 1
Neu Wer hat 2025 mit Xentral Erfahrungen gesammelt? Wechsel von JTL‑Wawi in Sicht Smalltalk 15
JTL Wawi und JTL-POS gleichen nicht mehr ab JTL-Wawi 1.11 2
Kann ich mit dieser SQL Version die neue WaWi 1.11.1 installieren? JTL-Wawi 1.11 2
Neu Übergabe Versandlaber an Fulfiller möglich über FFN standallone aber nicht über FFN mit angebundeener JTL-WAWI Arbeitsabläufe in JTL-Wawi 0
Wawi friert nach wählen eines beliebigen Menüpunktes ein JTL-Wawi 1.11 5
Neu Downloadmodul: Keine Daten in der Wawi Plugins für JTL-Shop 1
JTL Wawi API beendet Registrierung nicht 1.11.1 JTL-Wawi 1.11 10
Wawi in englischer Übersetzung JTL-Wawi 1.9 1
Neu Gutscheine werden nicht an die WaWi übermittelt Modified eCommerce-Connector 3
Keine Anmeldung mehr möglich in JTL Wawi seit Update? JTL-Wawi 1.11 5
JTL-Wawi stürzt beim Speichern des Shopify-Connectors jedes Mal ab JTL-Wawi 1.11 0
Hilfe WAWI Lizenzen JTL-Wawi 1.11 6
Neu Sql Express 2022 - wawi sagt beim Start es ist ein Update bereit - gelöst Installation von JTL-Wawi 3
Globale Textbausteine – Inhalte werden nicht gespeichert (Wawi 1.11.1) JTL-Wawi 1.11 12
Neu Wawi 1.10 weigert sich zu starten und 1.11 kann man nicht downloaden JTL-Wawi - Fehler und Bugs 4
eBay-Merkmal wird nach Ameise-Import nicht übernommen (Wawi 1.10.11.0) JTL-Wawi 1.10 2
Neu WaWi 1.11 Dashboard-Webbrowser (WebView2) Absturz JTL-Wawi - Fehler und Bugs 0
JTL Lob - gebuchte Wawi Edition in Fenster-Kopfleiste angezeigt JTL-Wawi 1.11 4
Issue angelegt [WAWI-71085] JTL Dashboard fehlerhafte Anzeige JTL-Wawi - Fehler und Bugs 9
1.11 mit 2 Mandanten - Dashboard bei Advanced Wawi zerschossen - JTL Start funktioniert JTL-Wawi 1.11 1
1.11 installiert - Wawi Sharp Version jetzt Standard - Startparameter funktionieren nicht mehr - gelöst JTL-Wawi 1.11 2

Ähnliche Themen

Top Bottom