Neu Kritischer Hotfix für JTL-Shop 3 & 4?

[Jon]

Hab erstmal die Datei auf dem Server gelöscht, da ich sowieso kein Uploadmodul verwende (denke ich, wofür war das nochmal?)

 

[sefnor]

hab es auch für ein Fake gehalten

 

[Mark Schuepstuhl]

Wie Felix schon sagte, die Mail ist von uns. Der Absender hätte eigentlich auch richtig angezeigt werden müssen. Ist auch von der Adresse versendet worden.

Und die Dateien sind bei uns gehostet. Also bitte nicht ignorieren, sondern dringend umsetzen!

VG
Mark

 

[JulianG]

Releasethreads wurden geupdated:
3.20.7: https://forum.jtl-software.de/threads/jtl-shop-3-20.75670/#post-582586
4.05.4: https://forum.jtl-software.de/threads/jtl-shop-4-05.97519/#post-582587
4.06.1: https://forum.jtl-software.de/threads/jtl-shop-4-06-cfe.104195/#post-582585

 

[Henryk]

Hi all,
es ist definitiv kein Fake, spielt den Hotfix ein!
Viele Grüße,
Henryk

 

[Der Konnektor]

Hi JTLler,
1. wie kann man den feststellen, ob ein Angriff auf den eigenen Shop stattgefunden hat?
2. In Zukunft Sicherheitspatches nicht mehr über einen Newsletterversender verlinken sondern direkt auf downloads.jtl...de
Gruß
Konrad

 

[IceDrake]

Registriert euch am besten gleich russianhackercommunity.ru und gebt uns dafür nächstes mal dafür einen Downloadlink ... grad bei so wichtigen Dingen kann man damit unheimlich viel Vertrauen bei seinen Kunden schaffen ...

Super gemacht ... einfach nur spitze !!!
https://jtl-software.us9.list-manag...e72b9cfc7ab96d17b0&id=94d0049679&e=bae2dff2c4

 

[Arndt]

Heute abend gegen halb acht kam eine weitere Mail mit einer 'Ergänzung' der ursprünglichen Mail mit dem Link zum Patch. Ist diese Ergänzung ebenfalls authentisch?

 

[css-umsetzung]

Ja

 

[ag-websolutions.de]

ja auch diese ist authentisch

Der Downloadlink zeigt auf
https://downloads.jtl-software.de/shop/public/s_patch_shop400-406.zip

 

[sr972]

Morgen,

naja, dass Ihr Mails via Mailchimp verschickt, um schneller auszuliefern ist ja das eine. Aber den DL Link auch noch via Mailchimp zu haben, ist etwas sehr suboptimal, um ehrlich zu sein. In dem Falle muss man den Usern echt ein Lob aussprechen dafür, dass sie so gut aufgepasst haben! Mailchimpen kann jeder, da kann ich sonst was reintippen.

Das Ausliefern via Mailchimp sehe ich semi-kritisch. Es geht einfach schneller mit niedrigerer Drop/Bounce Rate als über eure eigenen Serve. Für einen Fehler, der evtl. bereits aktiv genutzt wird, ist schnelle Info wichtig. Insofern ist MC hier tatsächlich die bessere Wahl gewesen. Aber DL Links via MC ist halt gerade bei einem Security Patch ein absolutes No-Go. Sorry, das habt ihr definitiv "verkackt". Ich war auch erst misstrauisch, habe dann die Foren Benachrichtigungen bekommen und mir dann den Patch via Forum gezogen.

VG

 

[Rico Giesler]

Ich denke da werden wir intern eine bessere Lösung besprechen falls das nochmal vorkommen sollte.

 

[holzpuppe]

Was habt ihr den für bekloppte E-Mails erhalten?
Mailheader ist sauber und die Links sind ebenfalls clean. URL's alle samt so wie sie sein sollen.
Bei mir ist nichts kryptisches angekommen.

Ach ich sehe gerade, ihr habt eine 2. Mail verschickt. Gar nicht mitbekommen. Ja die ist 100%ig wie oben beschrieben, sauber.
Und jetzt sehe ich grad die merkwürdigen Links aus der 1. Mail. Ich nehm alles zurück und behaupte das Gegenteil. Vielen Dank Weihnachtsstreß. (Beinahe hätt ich Merkel geschrieben. )