Neu Mail mit Plugin zum testen der Sicherheitslücke echt?

ChrisBe128

Aktives Mitglied
18. Januar 2021
35
7
Jeder zweite würde diese Mail in den Papierkorb ablegen. Andere Domain, anderes Logo.. dann ein Link zum direkten Download.
In der Google Suche gibt es nicht mal ein Treffer. Man könnte meinen, dass die neue Seite nicht mal indexiert wurde.

Wenigstens ein Hinweis im JTL-Kundencenter nach dem Login hätte man erwarten können. 😵


edit: Für alle JTL-Hosting Kunden ist wohl seitens JTL reagiert wurden und kein Handlungsbedarf.
 
Zuletzt bearbeitet:

caos

Gut bekanntes Mitglied
17. Januar 2007
440
6
Diese Email ist leider ein Witz. Ich will nicht wissen wer die alles löscht. Was es braucht? Eine email meldet euch in eurem JTL Kundenkonto an dort gibt es einen extrem wichtigen Sicherheitshinweis zu eurem JTL Shop. Kein Link, keine Anhang. Nur die Info und dann hinterlegt die weiteren Daten im Kundenkonto oder verlinkt von dort in den Blog etc.

Auf die Links in der Email hätte ich im leben nicht geklickt. Ein Plugin ohne Namen in der Email?
 

css-umsetzung

Offizieller Servicepartner
SPBanner
6. Juli 2011
8.602
2.680
Berlin
Firma
css-umsetzung
@marsblau ich bin auch seit 7 Tagen bei eComData , war zwar kein toller Start , weil nix ging - aber jetzt geht unsere AusweichDomain ... ich habe bei mir keine Scandauerüberschreitung . Indexiert uns Inhalt gelesen habe ich nicht mal dazustehen . Ich habe so wie es aussieht mit Google & Co Bots ein Problem weil die spammen mich regelrecht zu !!! Können uns ja mal austauschen oder fonen ....
hatten wir deswegen nicht schon mal telefoniert?
wenn es Bots sind dann findet sich eine Lösung, allerdings sind die Anfragen die du oben gepostet hast eigenartig.
 

Steffen80

Sehr aktives Mitglied
27. August 2012
454
95
Wir haben unseren Shop damals zwar schon gepatcht dennoch habe ich hier eine Frage, da ich da nicht so fit bin...

Es wird mit dem Security Scan ein Hinweis zur includes/config.JTL-Shop.ini.php bezüglich CHMOD ausgegeben:
Empfehlung laut Plugin 640 oder 600
Empfehlung JTL Guide 644

Vielleicht kann ja jemand dazu mal was sagen...
 

John

Sehr aktives Mitglied
3. März 2012
4.145
1.056
Berlin
1. Welcher Nutzer(!) an den sich der Newsletter wendet kann ein Plugin per FTP ohne Hilfe eines Servicepartners installieren?
2. Dubios erscheinender Link
3. Nicht im Extension Store als offizielles Plugin

JTL, wie schlimm soll das eigentlich noch werden?
 
  • Gefällt mir
Reaktionen: versuchsmal

caos

Gut bekanntes Mitglied
17. Januar 2007
440
6
Das Plugin braucht in jedem Fall für den Scan die Möglichkeit Ordner auszuschließen oder eine Whitelist.

Hat man zum Beispiel einen Blog bekommt man nicht nur einen false positiv bei Plugins.
 

Steffen80

Sehr aktives Mitglied
27. August 2012
454
95
1. Welcher Nutzer(!) an den sich der Newsletter wendet kann ein Plugin per FTP ohne Hilfe eines Servicepartners installieren?
2. Dubios erscheinender Link
3. Nicht im Extension Store als offizielles Plugin

JTL, wie schlimm soll das eigentlich noch werden?
zu Punkt 1 und 2 stimme ich Dir voll und ganz zu allerdings ist das Plugin im Extension Store und kann übers Backend installiert werden.

https://www.jtl-software.de/extensi...omittierungs-check-fuer-jtl-shop-5-jtl-shop-5
 

Richi18

Aktives Mitglied
26. März 2013
6
0
JTL, wie schlimm soll das eigentlich noch werden?


Ja, die Kommunikation könnte deutlich besser sein. Die erste Email bzgl. der Sicherheitslücke sah für mich auch nach Spam aus. Logos unterschiedlich, JTL Email, JTL Forum, etc.
Habe den Link dann auf einen Privat-Rechner öffnen wollen und dann hat der Browser Alarm geschlagen. (Sicherheitsrisiko).

PS: Unseren Shop hat es erwischt. Schadsoftware gefunden, obwohl 1,5 Tage vorher gepatcht. Der Shop wurde komplett offline genommen.

Und seit heute früh keinen Zugriff auf das Kundencenter unseres Hosting-Anbieter möglich. (504 Gateway Timeout). Wartung? Zufall, weiss nicht.

Bei "greenstein.design" gibt es einen aktuellen Blog-Beitrag zum Thema. Darunter auch "Der Shop ist selten das einzige Opfer." Möglicherweise zieht das noch weitere Kreise als angenommen.
 

Lucas357

Aktives Mitglied
12. April 2022
83
11
Ja, die Kommunikation könnte deutlich besser sein. Die erste Email bzgl. der Sicherheitslücke sah für mich auch nach Spam aus. Logos unterschiedlich, JTL Email, JTL Forum, etc.
Habe den Link dann auf einen Privat-Rechner öffnen wollen und dann hat der Browser Alarm geschlagen. (Sicherheitsrisiko).

PS: Unseren Shop hat es erwischt. Schadsoftware gefunden, obwohl 1,5 Tage vorher gepatcht. Der Shop wurde komplett offline genommen.

Und seit heute früh keinen Zugriff auf das Kundencenter unseres Hosting-Anbieter möglich. (504 Gateway Timeout). Wartung? Zufall, weiss nicht.

Bei "greenstein.design" gibt es einen aktuellen Blog-Beitrag zum Thema. Darunter auch "Der Shop ist selten das einzige Opfer." Möglicherweise zieht das noch weitere Kreise als angenommen.
Bei welchem Hoster bist du?
 

NoOne

Sehr aktives Mitglied
16. März 2024
631
215
1. Welcher Nutzer(!) an den sich der Newsletter wendet kann ein Plugin per FTP ohne Hilfe eines Servicepartners installieren?
Das soll doch jetzt wohl ein Witz sein oder? Es ist überhaupt kein Akt sich das Plugin runterzuladen und über den Plugin-Manager zu installieren. Was willst du da mit FTP? Das ist eigentlich noch intuitiver als den ExS anzubinden, sich eine Lizenz im ExS zu kaufen, die Lizenz an den Shop zu binden und dann über Meine-Käufe zu installieren...
 

Steffen80

Sehr aktives Mitglied
27. August 2012
454
95
Das soll doch jetzt wohl ein Witz sein oder? Es ist überhaupt kein Akt sich das Plugin runterzuladen und über den Plugin-Manager zu installieren. Was willst du da mit FTP? Das ist eigentlich noch intuitiver als den ExS anzubinden, sich eine Lizenz im ExS zu kaufen, die Lizenz an den Shop zu binden und dann über Meine-Käufe zu installieren...
Ich hatte die Methode über den Pluginmanager jetzt aber auch grad nicht auf dem Schirm und denke das kann man auch netter sagen...

Ja, man kann das so machen, allerdings konnte ich diese Mail nicht sofort als seriös einstufen, da neue Endung .com, neues Logo und fehlende Anrede.
Da hätte ich auch Probleme mir eine Zip als Direktdownload runterzuladen und in meinem Shop zu installieren...
 

NoOne

Sehr aktives Mitglied
16. März 2024
631
215
Ich hatte die Methode über den Pluginmanager jetzt aber auch grad nicht auf dem Schirm und denke das kann man auch netter sagen...

Ja, man kann das so machen, allerdings konnte ich diese Mail nicht sofort als seriös einstufen, da neue Endung .com, neues Logo und fehlende Anrede.
Da hätte ich auch Probleme mir eine Zip als Direktdownload runterzuladen und in meinem Shop zu installieren...
Ja gut, das versteh ich schon. Aber das war ja nicht mein Kritikpunkt. Aber wenn man sich mal von den Problemen der E-Mail löst und die Sache generell betrachtet, dann ist eine Version die vom Extension Store losgelöst ist in solchen Fällen durchaus sinnvoll. Bei sicherheitsrelevanten Themen ist Schnelligkeit meist das A und O. Wenn da der Extension Store down ist, kannst du dir das Plugin nicht holen. Und selbst wenn die normale Extension Store Version zum Einzeldownload verfügbar wäre, könntest du es nicht installieren, weil die Lizenz dafür fehlt, auch wenn sie kostenlos ist. Oder wenn die Lizenzserver grad Probleme hätten. Ist ja nicht so als hätte es das nicht alles schon mal gegeben... Da zusätzlich eine weitere, unabhängige Lösung zu bieten, das ist nicht kritikwürdig. Selbst wenn diese Lösung nur für Power-User oder ITler wäre, was sie ja aber eigentlich nicht ist.

Edit: Wobei sie das ja eigentlich doch ist, weil die meisten mit den Meldungen da vermutlich auch nicht wirklich was anfangen können.
 
  • Gefällt mir
Reaktionen: Steffen80

caos

Gut bekanntes Mitglied
17. Januar 2007
440
6
Ja gut, das versteh ich schon. Aber das war ja nicht mein Kritikpunkt. Aber wenn man sich mal von den Problemen der E-Mail löst und die Sache generell betrachtet, dann ist eine Version die vom Extension Store losgelöst ist in solchen Fällen durchaus sinnvoll. Bei sicherheitsrelevanten Themen ist Schnelligkeit meist das A und O. Wenn da der Extension Store down ist, kannst du dir das Plugin nicht holen. Und selbst wenn die normale Extension Store Version zum Einzeldownload verfügbar wäre, könntest du es nicht installieren, weil die Lizenz dafür fehlt, auch wenn sie kostenlos ist. Oder wenn die Lizenzserver grad Probleme hätten. Ist ja nicht so als hätte es das nicht alles schon mal gegeben... Da zusätzlich eine weitere, unabhängige Lösung zu bieten, das ist nicht kritikwürdig. Selbst wenn diese Lösung nur für Power-User oder ITler wäre, was sie ja aber eigentlich nicht ist.

Edit: Wobei sie das ja eigentlich doch ist, weil die meisten mit den Meldungen da vermutlich auch nicht wirklich was anfangen können.
sowas gehört dann in das Kunden Konto bei JTL. Ich will mich bei JTL auf der Seite anmelden dann weiß ich das ich auf die Seite gegangen bin und nicht einen Anhang in einer Email. Selber auf die Seite zu gehen ist immer der bessere Weg (meine Meinung).
 

NoOne

Sehr aktives Mitglied
16. März 2024
631
215
sowas gehört dann in das Kunden Konto bei JTL. Ich will mich bei JTL auf der Seite anmelden dann weiß ich das ich auf die Seite gegangen bin und nicht einen Anhang in einer Email. Selber auf die Seite zu gehen ist immer der bessere Weg (meine Meinung).
Naja, das ist ja auch gegeben: https://www.jtl-software.com/de/jtl-shop-sicherheits-patch-kostenloses-plugin
Auch da kann man das Plugin runterladen. Ist ein bissel unglücklich, dass es nicht auf der Startseite verlinkt ist. Aber man findets z. B. wenn man auf der JTL-Homepage nach CVE-2026-54390 sucht. Und darüber findet man auch die Bestätigung das die Sicherheitslücke echt ist, wenn man danach googelt. Der CVE wurde mehrfach erwähnt, zumindest in der letzten Mail. Es ist jetzt nicht so als wäre das nicht überprüfbar.
 

Vape & Make

Aktives Mitglied
15. Januar 2016
57
10
mich hats schwer getroffen , bekomme pro Sekunde hunderte Anfragen auf eine Seite im Shop die es nicht gibt. ( /?sf%5B%5D=572&sf%5B%5D=1175&sf%5B%5D=1196 ) - die 32GB RAM vom Server voll !!! Und 35000 Besucher an Tag die kann ich nicht glauben. Da will uns einer Hopps nehmen . Daben den Hoster gewechnelt und den Shop auf einer anderen Doman ... installiere ich den Shop wieder auf der alten Domain haben wir sofort 22k Besucher - bei gerade installierten Shop ohne alles ... wir sind da ratlos wie und wo !
Hatten wir auch um das letzte Wochenende. Unser Provider "all-inkl" hat reagiert und schreibt uns dazu folgendes. Wir habe die Sperre inzwischen wieder abgeschaltet.

-------------------------------------------
Sehr geehrter Herr xxx,

wir haben Massenaufrufe auf Ihre Seite xxx festgestellt. Dadurch waren Ihre Seiten sowie die Seiten von anderen Kunden auf dem Server schlecht bzw. nicht erreichbar.

Da die Aufrufe aus verschiedene Länder erfolgte, haben wir den Zugriff auf Ihre Seite auf deutschsprachige Länder beschränkt. Dazu haben wir folgenden Regeln in die Datei .htaccess im Hauptordner Ihrer Webseite hinzugefügt:

##Ländersperre
GeoIPEnable On
SetEnvIf GEOIP_COUNTRY_CODE DE AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE AT AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE CH AllowCountry
Deny from all
Allow from env=AllowCountry
##Ländersperre ende

Sie sollten diese Regeln noch ein paar Stunden bestehen lassen, um sicher zu gehen, dass die Attacke abgeklungen ist. Danach können Sie diese wieder entfernen.

Für Rückfragen stehen wir Ihnen gerne zur Verfügung.
--------------------------------------
 

sar.no

Aktives Mitglied
27. August 2018
73
19
Hi,

ich bin auch nach wie vor verunsichert. Warum gibt es hierzu im Forum keinen offiziellen JTL-Thread? Oder wie von anderen schon erwähnt einen Hinweis direkt im Kundencenter? Insbesondere nachdem der Newsletter soviel Verwirrung ausgelöst hat?

Eine andere Frage, die mich schon ein paar Mal beschäftigt hat: sind eigentlich alle Plugins, auch von Drittanbietern, die im Extension Store angeboten werden 100% sicher? Gibt es dafür irgendeine Garantie?

Viele Grüße,
Sarah
 

Nicolas W.

Administrator
Mitarbeiter
17. September 2024
27
19
Vor allem, ich bekomme andere eMail von JTL von @Jtl-software.de bis zum 06.07.2026 und jetzt von .com. Immer habe ich eine genaue Anrede und hier nicht. hmmmmm 🤔


Hallo,

wir versenden von @Jtl-software.com.

Kommt dir eine E-Mail verdächtig vor? Teile sie gerne mit mir per Privatnachricht.

Die aktuelle Version des Plugins ist 1.0.2 und wird hier laufend aktualisiert: https://www.jtl-software.com/de/jtl-shop-sicherheits-patch-kostenloses-plugin

Bei Fragen stehen wir euch weiterhin zur Verfügung.
 

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
410
78
Trotz Ankündigung eines Updates des Scanners in besagter E-Mail vom Freitag, ist die im Extension-Shop verfügbare Version noch immer die 1.0.1 ... und der Scanner selbst zeigt nach dem Scan als Scanner-Version 1.0.0.
JTL hat da heute anscheinend dran gearbeitet. Ich hatte zuvor die 1.01 über den Extension-Store installiert. Heute wurde mir ein Update auf 1.0.3 vorgeschlagen. Das lief auch einwandfrei durch.
 

webgreat

Gut bekanntes Mitglied
17. April 2013
309
10
Verl
mich hats schwer getroffen , bekomme pro Sekunde hunderte Anfragen auf eine Seite im Shop die es nicht gibt. ( /?sf%5B%5D=572&sf%5B%5D=1175&sf%5B%5D=1196 ) - die 32GB RAM vom Server voll !!! Und 35000 Besucher an Tag die kann ich nicht glauben. Da will uns einer Hopps nehmen . Daben den Hoster gewechnelt und den Shop auf einer anderen Doman ... installiere ich den Shop wieder auf der alten Domain haben wir sofort 22k Besucher - bei gerade installierten Shop ohne alles ... wir sind da ratlos wie und wo !
Dann solltest du deinen Hoster bitten den Host zu deaktivieren. Hol dir Unterstützung. Einfach Hoster wechseln bringt gar nichts. Deine und die DB werden infiziert sein.
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu JTL Shop Plugin - BD Automatisierter Widerruf (Von Händler für Händler - Schluss mit Mail-Chaos & Spam-Sorgen!) Plugins für JTL-Shop 0
Neu Neuerdings E-Mail benachrichtigung bei "Pick up in Store", allerdings mit E-Mail "Bestellung wurde abgeholt" Shopify-Connector 0
Neu E-Mail-Vorlage kann nicht bearbeitet werden JTL-Shop - Fehler und Bugs 0
Druck-/E-Mail-Exportvorlagen verwalten -Lieferschein JTL-Wawi 2.0 3
Neu JTL-Wawi Shopabgleich per E-Mail überwachen (Warnungen & Fehler) Onlineshop-Anbindung 1
Allgemeine Einstellungen --> E-Mail Vorlagen (falsche Mail Codierung) JTL-Wawi 1.11 10
Neu E-Mail-Versand Allgemeine Fragen zu JTL-POS 0
Neu Sicherheitslücke, geprüft mit EcomSec Allgemeine Fragen zu JTL-Shop 3
Neu POS Server crashed mit Wawi Version 1.11.10 JTL-POS - Fehler und Bugs 0
Neu Plugin trotz Hinweis Kompatibel mit JTL-Shop bis 5.6.* auch unter 5.7.2 nutzen Plugins für JTL-Shop 2
Webinar am 04.08. eBay Live: So startest du mit Live Commerce Messen, Stammtische und interessante Events 0
Neu Nettopreis mit rabbatt Allgemeine Fragen zu JTL-Shop 1
Neu Canonical-Tag bei Merkmalwert-URLs mit Parameter "m" Betrieb / Pflege von JTL-Shop 11
Neu Übertragung an AMAZON (versendet) - Probleme mit Großbriefen JTL-ShippingLabels - Fehler und Bugs 0
Neu Gesucht: JTL-Systempartner/Freelancer mit Erfahrung in Personalisierungs-/Gravur-Fulfillment Dienstleistung, Jobs und Ähnliches 2
Neu Wird irgendwo in der Datenbank geloggt welcher WMS-Mobile Benutzer mit dem MDE-Gerät einen Auftrag, bzw. Pickliste gepickt hat? User helfen Usern - Fragen zu JTL-Wawi 1
Rechnung mit CC verschicken Vorlagen 2.0 JTL-Wawi 1.11 12
Neu Versanddatenimport in Packtisch nicht automatisch (DPD Österreich mit WEB.omat) JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 2
Neu Anzeige Alle Artikel mit Kategorieanzeige linke Menüleiste Allgemeine Fragen zu JTL-Shop 9
Neu GLS Privatlabels mit Packtisch verknüpfen JTL-ShippingLabels - Ideen, Lob und Kritik 0
Neu oAuth Credentials Login mit JTL .. WO? User helfen Usern 1
Neu kostenlos: DHL Sendungsverfolgung für JTL-Wawi – Web-Dashboard mit Frühwarnsystem Schnittstellen Import / Export 0
Neu Konfigurationsgruppe mit Auslesen Arbeitsabläufe in JTL-Wawi 1
Neu Ist es ohne Probleme möglich Cloudflare in der Free Version mit JTL zu nutzen? Allgemeine Fragen zu JTL-Shop 7
Neu Nach Wawi Update Probleme mit Rechnungsdrucker JTL-POS - Fehler und Bugs 4
Neu Mariadb 12 mit 5.7.1 Allgemeine Fragen zu JTL-Shop 0
Neu Pickliste mit maximaler SKU-Anzahl – gibt es eine Lösung? Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 4
Neu Mit Fehlern beendet - Object reference not set to an instance of an object. JTL-Track&Trace - Fehler und Bugs 0
ändern von Servernamen nach Neuinstallation von SQL und Verbindung mit neuem Server in der Wawi JTL-Wawi 2.0 2
Probleme mit Artikelansicht oder Verkauf, etc. JTL-Wawi 2.0 0
Fehler mit Zahlungsabgleich JTL-Wawi 1.11 11
Eigener Drittshop-Connector (jtl/connector 5.3): valide Variationskombinationen werden mit „besitzt keine Variationen" nicht gesendet JTL-Wawi 1.11 1
Neu Problem mit dem JTL-Connector – Invalid Shopify connection credentials. Shopify-Connector 3
Neu Arbeiten mit Lieferanten EKs - Workflows und SQL User helfen Usern - Fragen zu JTL-Wawi 6
Neu JTL Artikelanlage mit KI beschleunigen User helfen Usern - Fragen zu JTL-Wawi 2
Neu DHL 4.0 mit JTL-ShippingLabels funktioniert nicht JTL-ShippingLabels - Fehler und Bugs 2
Neu Amazon FBA Bestellungen doppelt mit _1 Amazon-Anbindung - Fehler und Bugs 5
Fehler beim Abgleich mit Amazon JTL-Wawi 2.0 10
Abgleich Amazon mit Fehlern beendet 1.11.08 JTL-Wawi 1.11 14
Rabatt Coupons in Verbindung mit Staffelpreisen - JTL 1.11.9, JTL Shop JTL-Wawi 1.11 0
Worker 2.0 starten mit deak. Abgleichen? JTL-Wawi 2.0 6
Fehler beim Abgleich mit dem JTL-Shop JTL-Wawi 2.0 12
Neu OnFinds: KI-Suche für JTL-Shop mit fairer Abrechnung nach Artikelanzahl. 30 Tage kostenlos testen Plugins für JTL-Shop 0
Neu Abrechnung / Auslieferung von Aufträgen mit Gutschriftverfahren Arbeitsabläufe in JTL-Wawi 3
Neu Dummy-ID oder Freiposition für Angebot mit mehrzeiliger Beschreibung JTL-Wawi - Ideen, Lob und Kritik 7
Neu JTL Shop 5.7.1 mit Fehlern - versandarten zahlungsarten nicht änderbar, leere weiße Seite JTL-Shop - Fehler und Bugs 5
JTL Ameise Lieferantenbestellung mit VPE importieren oder umrechnen JTL-Wawi 1.11 0
Jtl pos Einstellungen mit wiwa 2.02 JTL-Wawi 1.11 0
Anmeldung mit OAuth bei Versanddienstleister notwendig JTL-Wawi 1.10 5
Problem mit Hermes Österreich Sendungsnummern – Fehler beim Amazon-Abgleich in JTL-Wawi JTL-Wawi 1.10 0

Ähnliche Themen