Neu Security-Fix 4.06 B13, bitte mehr und umfassendere Infos

[hula1499]

Hallo,

laut https://forum.jtl-software.de/threads/jtl-shop-4-06.114397/#post-664183

Gibts:

Informationen zum Sicherheitsupdate dieses Builds
* Security-Fix: U.U. mögliche SQL-Injection im Backend von angemeldeten Administratoren verhindert
* Security-Fix: Uploadmodul - Zugriffsbeschränkung auf hochgeladene Dateien

Könnte man hier bitte etwas näher darauf eingehen?

1.) Welche Datein sind betroffen und welche Änderungen gibts in welchen entsprechenden Datein
2.) Seit wann / ab welcher Version gibts diese mögliche Schwachstelle

Mir ist schon bewusst, dass ein Offenlegen diverse "kritsicher Sicherheitsbugs" ein weiteres Sicherheitsrisiko ist, jedoch müssen auch die "Nicht-Updater" hier auf der sicheren Seite sein.

 

[david]

Hey,

die Punkte kläre ich gern auf.
Unsere Empfehlung ist immer, ein Update auf die letzte Version durchzuführen und nicht manuell einzelne Dateien zu patchen. Der wichtigste Grund ist, dass nur so auch sichergestellt werden kann, dass auch die vergangenen Sicherheitsfixes enthalten sind.
Ein anderer Grund ist, dass unser Support unter Umständen nicht mehr unterstützen kann, wenn Zusammenhänge zwischen den selbst angepassten Dateien und dem jew. Problem nicht ausgeschlossen werden können.
Ich verstehe aber, dass weitere Details notwendig sind, um das Risiko besser abschätzen zu können.
Wenn ihr z.B. kein Upload-Modul im Shop nutzt und ihr eure Admin-Zugänge nur vertrauenswürdigen Personen gebt (was ohnehin immer so sein sollte),
dann ist das Risiko o.g. Sicherheitslücken gering bis 0.

* Security-Fix: U.U. mögliche SQL-Injection im Backend von angemeldeten Administratoren verhindert
Betrifft JTL-Shop 3 - 4.06.12. Der Fix war präventiv und beschränkt sich auf das Umschreiben der SQLs in Prepared Statements.
Wir haben dazu weder einen Proof of Concept noch ist uns irgendein Vorfall dieser Art bekannt.
1 Datei: admin/classes/class.JTL-Shopadmin.JSONAPI.php

* Security-Fix: Uploadmodul - Zugriffsbeschränkung auf hochgeladene Dateien
Betrifft JTL-Shop 3 - 4.06.12. Der Fix schränkt die Zugriffsmöglichkeiten auf hochgeladene Dateien weiter ein.
Uns ist kein Vorfall in diesem Zusammenhang bekannt, es handelt sich um eine präventive Maßnahme.
2 Dateien: includes/ext/class.JTL-Shop.UploadDatei.php ; jtl.php

Die Dringlichkeit des Updates ist jetzt natürlich umso größer, damit es auch dabei bleibt, dass die o.g. Sicherheitslücken nicht ausgenutzt werden!
Daher liebe Shopbetreiber, bitte updated so bald wie möglich auf Version 4.06.13!

Diese Informationen werden im Releasepost ergänzt.

 

[hula1499]

Hallo @david

danke für die Info.

Gerne möchte ich noch etwas genauer auf die Stellen der betreffenden Datein eingehen, auch wenn ichs mir natürlich raussuchen könnte, vergleichen könnte, SP anrufen könnte um das verglichene zu verstehen -> dies müssten aber jeder selbst machen, so sparen wir dem Rest (der nicht updaten will) der JTL Kunden etwas Zeit.

Gibts für die betreffenden 3 Datein auf Git oder so eine kommentierte Info der jeweiligen Stellen in den jeweiligen Dateien?

Oder, wärst du bitte so freundlich und könntest die 3 Stellen "irgendwo" uns angeben?

Vielen Dank.

 

[david]

Ja, die Änderungen sind natürlich alle in unserem Gitlab-Repository transparent nachvollziehbar.
Links schicke ich dir dann aber trotzdem lieber via PN - eine kleine Hürde für Leute mit weniger guten Absichten muss da bleiben zum Schutz der Shopbetreiber, die nicht innerhalb der nächsten Tage und Wochen updaten.

 

[hula1499]

Ja, natürlich ein "unangenehmes" Thema und sollte nicht ganz so public sein.
Dank dir David.