Wichtig 👉 Sicherheitslücke in JTL-Shop 5 bis 5.3.2 (betr. alle Versionen des Shopsystems)

[Nina L.]

Liebe Community,
wir haben eine kritische Sicherheitslücke entdeckt, die alle Versionen unseres Shopsystems JTL- Shop 5 bis einschließlich Version 5.3.2 betrifft. Nach unseren Informationen ist die Sicherheitslücke bislang nicht ausgenutzt worden.
Wir bitten Euch dennoch, dringend umgehend aktiv zu werden, um die Sicherheit Eurer Systeme zu gewährleisten!

Technische Hintergründe:
Bei der Sicherheitslücke handelt es sich um eine nicht vorhandene Prüfung auf einen eingeloggten Backend-Nutzer im Admin-Bereich von JTL-Shop 5. Dritte können dadurch beliebige Plugins deaktivieren, indem sie eine entsprechend manipulierte Anfrage an das Shopsystem senden.
Ob Euer Shop bereits von der Lücke betroffen war, lässt sich bedauerlicherweise nicht feststellen. Solltet Ihr in der Vergangenheit auf unerklärlich deaktivierte Plugins gestoßen sein, besteht grundsätzlich die Chance, dass die Lücke dafür genutzt wurde.

Das müsst Ihr jetzt tun
Es gibt für jede der aktuellen JTL-Shop-5-Versionen ein Update, das ausschließlich einen Patch zur Behebung der genannten Sicherheitslücke enthält. Sollte Euer JTL-Shop bereits auf die Versionen 5.0.6, 5.1.6, 5.2.5 oder 5.3.2 sein, können sie über den entsprechenden Patch auf die nächsthöhere Version aktualisiert werden.

Mehr Informationen und Downloadmöglichkeiten der Patches haben wir für Euch im Forum hinterlegt:

Shop 5.0.7

Shop 5.1.7

Shop 5.2.6

Shop 5.3.3

Solltet Ihr eine ältere Version des JTL-Shop 5 verwenden (JTL-Shop 5.0.0 bis 5.0.5, 5.1.0 bis 5.1.5, 5.2.0 bis 5.2.4 oder 5.3.0 bis 5.3.1) und nicht auf eine aktuelle Version updaten können, findet Ihr unter folgenden Links eine Anleitung zum Beheben der Sicherheitslücke:

Patch für Shop 5.0.0 bis 5.0.5 und Shop 5.1.0 bis 5.1.5

Patch für Shop 5.2.0 bis 5.2.4 und Shop 5.3.0 bis 5.3.1

Eure aktuell genutzte JTL-Shop-Version seht Ihr im Informations-Widget Eures JTL-Shop Backend ( /admin ) Dashboards.
Generell gilt: Ältere Versionen von JTL-Shop können weitere Sicherheitslücken enthalten. Daher empfehlen wir Euch dringend, Euren JTL-Shop aktuell zu halten. Eine Übersicht aller verfügbaren Versionen findet Ihr in unserem Releaseforum.

Nach dem Update
Wenn Ihr die Sicherheitslücke durch das Update auf die entsprechende neue Version geschlossen habt, gibt es nichts Weiteres zu beachten.

Wenn Ihr die Sicherheitslücke durch manuelles Patchen einer älteren Version geschlossen habt, beachtet bitte, dass im JTL-Shop Backend ein Hinweis für modifizierte Dateien angezeigt wird. Folgt diesem Hinweis, solltet Ihr eine Liste modifizierter Dateien vorfinden. Für folgende Dateien ist das durch das Schließen der Sicherheitslücke normal und wird erst durch Update auf eine entsprechende neue Version behoben:
/admin/includes/smartyinclude.php (Für Shop 5.0 und Shop 5.1)
/admin/includes/admininclude.php (Für Shop 5.2 und Shop 5.3)

Hinweis für JTL-Hosting-Kunden
Wenn Ihr das Hosting Eurres JTL-Shops in unsere Hände gegeben habt, so haben wir die Sicherheitslücke bereits für Euch geschlossen. Dazu erhaltet Ihr in Eurem Shop die Meldung über eine modifizierte Datei und müsst nichts mehr tun.

Euer Ansprechpartner bei Rückfragen
Unser Support-Team steht Euch bei Rückfragen gerne zur Verfügung. Bitte erstellt hierzu wie gewohnt ein Support-Ticket im JTL-Kundencenter.

Mit freundlichen Grüßen
Euer Team der JTL-Software-GmbH 

 

[JohnFrea]

Danke für den Hinwies.

Schade, dass die Patche gigantisch viele, unnötige Dateien enthalten, obwohl eigentlich nicht viel geändert wurde.

 

[ple]

https://www.jtl-software.de/sicherh...sfix-in-jtl-shop-5-2-x-und-5-3-x-einzuspielen

if (Request::postVar(‚action‘) === ‘disable-expired-plugins‘ && Form::validateToken()) {

if ((int)$_SESSION[‚AdminAccount‘]->kAdminlogin > 0 && Request::postVar(‚action‘) === ‘disable-expired-plugins‘ && Form::validateToken()) {

Sollten es nicht Hochkommas ' sein statt ‚‘ ?

 

[ergowebshop]

Sollten es nicht Hochkommas ' sein statt ‚‘ ?

Sollte es, hab auch gerade ein Ticket dazu aufgemacht bevor ich das hier gelesen habe, in den Bildern in der Anleitung ist es richtig. Jeweils Punkt 7 und 8 bei der Anleitung, bei beiden Dateien.

 

[triole]

Ja, bitte ändert die Anleitung. So funktioniert schon die Suche nach der fehlerhaften Zeile nict.
VG

 

[ergowebshop]

Ist jetzt geändert in der Anleitung.

 

[Michi001]

also ich bekomme eine Fehlermeldung wenn ich den admin-login aufrufen möchte in unserem JTL Shop 5.1.5 nach dem ändern der Datei:

Parse error: syntax error, unexpected '' && Form::validateToken()) {' (T_CONSTANT_ENCAPSED_STRING) in /usr/www/users/.../admin/includes/smartyinclude.php on line 189

was läuft falsch?

 

[OliverS]

also ich bekomme eine Fehlermeldung wenn ich den admin-login aufrufen möchte in unserem JTL Shop 5.1.5 nach dem ändern der Datei:

Parse error: syntax error, unexpected '' && Form::validateToken()) {' (T_CONSTANT_ENCAPSED_STRING) in /usr/www/users/.../admin/includes/smartyinclude.php on line 189

was läuft falsch?

Da wurde anscheinend die Zeile falsch eingefügt, oder noch die nicht korrigierte Zeile. Korrekterweise lautet die Zeile:

if ((int)$_SESSION['AdminAccount']->kAdminlogin > 0 && Request::postVar('action') === 'disable-expired-plugins' && Form::validateToken()) {

Die Korrektur auf der Seite, hat leider etwas gedauert, weil das CMS sich etwas quer gestellt hat.

 

[Michi001]

Da wurde anscheinend die Zeile falsch eingefügt, oder noch die nicht korrigierte Zeile. Korrekterweise lautet die Zeile:

if ((int)$_SESSION['AdminAccount']->kAdminlogin > 0 && Request::postVar('action') === 'disable-expired-plugins' && Form::validateToken()) {

Die Korrektur auf der Seite, hat leider etwas gedauert, weil das CMS sich etwas quer gestellt hat.

Vielen lieben Dank.
Mit dieser Zeile hat es geklappt

 

[Shop-Schmied]

Vielen Dank für das Posting und die Email mit der detailierten Anleitung zum Fix! 👏

 

[Shop-Schmied]

Kann man sowas als Laie selbst durchführen (fixen) oder brauche ich da eher einen externen Support? Habe bereits ein Angebot für 300,-- pro shop erhalten, das kommt mir etwas viel vor.
gibts da ne Anleitung wie man an den Quelltext an die betreffende Stelle kommt um die zeile zu tauschen?
Danke Vorab!

Siehe: Erster Post. Dort sind die Links - abhängig von Deiner aktuellen Shopversion. Ich fand das jetzt nicht so schwer und war damit in 5 Minuten durch. Wenn Du nach Anleitung Schritt für Schritt arbeitest und schonmal mit FTP-Upload, Filezilla & Notepad oder anderem Editor gearbeitet hast, sollte es kein Problem sein.

Was mich noch interessieren würde: Ist beim Patchupdate auf Shop 5.3.3 noch etwas mehr verändert worden, als diese einzelne Zeile? Oder geht es im Grunde nur darum, dass die Fehlermeldung wegen veränderter Dateien durch den Patch verschwindet? Dann könnte ich damit noch warten.

 

[ergowebshop]

Was mich noch interessieren würde: Ist beim Patchupdate auf Shop 5.3.3 noch etwas mehr verändert worden, als diese einzelne Zeile? Oder geht es im Grunde nur darum, dass die Fehlermeldung wegen veränderter Dateien durch den Patch verschwindet? Dann könnte ich damit noch warten.

Dann warst du wohl zu schnell durch, es steht nämlich auch in der Rundmail: "falls Sie nicht updaten können, finden Sie unter folgenden Links eine Anleitung zum Beheben der Sicherheitslücke".

Die Zeile korrigieren behebt das Sicherheitsrisiko auf die Schnelle, aber man sollte doch zeitnah auf die jeweils aktuelle Version gehen, über den normalen Updateweg, vorher natürlich wie immer Testen und Plugin-Kompatibilität prüfen.

Aber wie @JohnFrea schon geschrieben hat, irgendwie sind da noch tausende weitere Dateien im Update-Paket obwohl eigentlich nicht viel geändert wurde.

 

[Shop-Schmied]

Ok, wer lesen kann ... . Aber den Patch noch einzuspielen sollte ja nicht das Problem darstellen. Gabs in der Vergangenheit auch ab und zu.

 

[Stanislav]

Kann man sowas als Laie selbst durchführen (fixen) oder brauche ich da eher einen externen Support? Habe bereits ein Angebot für 300,-- pro shop erhalten, das kommt mir etwas viel vor.
gibts da ne Anleitung wie man an den Quelltext an die betreffende Stelle kommt um die zeile zu tauschen?
Danke Vorab!

Könnten Sie bitte sagen:
1. Welche Versionen Ihrer Online-Shops?
2. Wie viele *.tpl in Child?
3. Wie viel Plugins hat jede Shop?

Höchstwahrscheinlich wurden Ihnen nicht nur ein Patch angeboten, sondern auch auf die neuesten 5.3.3 aktualisieren.

 

[MRacer]

Unsere Agentur hat uns generell gewarnt, Upadates selbst vorzunehmen (zwecks Kompatibilität).
Habe ich das richtig verstanden: Wenn wir nur die Zeile aus der Anleitung austauschen, brauchen wir die Shopversion nicht updaten!?
Bei uns ist es:
- Shop-Version 5.2.3
- Ein .tpl im Child
- 8 Plugins

 

[John]

5.23 ist ja generell alt. Ja, die kann man nochmal auf die schnelle patchen aber ein Udpate ist mittelfristig angeraten.

Das "mal eben" zu patchen, kann man nach Anleitung auch selbst machen. Oder einen kleinen Taler für die Agentur. Das Rechnung schreiben sollte mehr kosten, als das Änderung machen...

 

[MRacer]

5.23 ist ja generell alt. Ja, die kann man nochmal auf die schnelle patchen aber ein Udpate ist mittelfristig angeraten.

Das "mal eben" zu patchen, kann man nach Anleitung auch selbst machen. Oder einen kleinen Taler für die Agentur. Das Rechnung schreiben sollte mehr kosten, als das Änderung machen...

Danke John!
Hast du eine Empfehlung zu einer Agentur im Raum Stuttgart, die uns beim Update etc. unterstützen kann?

 

[recent.digital]

Im Zweifel über die JTL Projektbörse ausschreiben - dann erreichst du sofort mehrere Servicepartner mit deiner Anfrage.