Voraussetzungen
Es werden folgende Programme & Zugänge benötigt:
- FTP Programm (z.B. Filezilla)
- FTP Zugangsdaten zum eigenen Server
Gambio schwere Sicherheitslücke Dezember/Januar 2024
Im Dezember wurde Gambio durch USD HeroLab gemeldet, dass man fünf Sicherheitslücken gefunden hat. Zwei dieser Lücken wurden als sehr gefährlich eingestuft.
Das Protokoll des Versagens seitens Gambio soll jetzt hier kein Thema sein. Aber das Gambio Wochenlang nicht reagierte und erst in die Puschen gekommen ist, nachdem die Sicherheitslücke durch USD HeroLab öffentlich gemacht wurde, bzw. nicht mal dann sondern erst nachdem in der Community Unruhe rein kam sei hier einmal erwähnt.
Wer da nachlesen will:
Meldungen bei USD:
- https://herolab.usd.de/security-advisories/usd-2023-0046/
- https://herolab.usd.de/security-advisories/usd-2023-0047/
- https://herolab.usd.de/security-advisories/usd-2023-0048/
- https://herolab.usd.de/security-advisories/usd-2023-0049/
- https://herolab.usd.de/security-advisories/usd-2023-0050/
Post von Gambio im Forum zum Patch: https://www.gambio.de/forum/threads/wichtiges-security-update-2024-01-v1-0-fuer-gx4-v4-6-0-1-bis-v4-9-2-0.50827/
Anleitung den Patch zu installieren für alle Gambioversionen
Gambio hat den Sicherheitspatch offiziell nur für Version 4.6 bis 4.9 veröffentlicht.
Sehen wir mal von der Tatsache ab, dass die erste Version des Patches fehlerhaft und unvollständig war, ist der Patch einfach zu installieren.
Einfach die Dateien entpacken und hochladen. Es handelt sich dabei um:
- GProtector/cache/standard.json
- GProtector/filter/standard.json
- GXMainComponents/Controllers/HttpView/Shop/ParcelshopfinderController.inc.php
- version_info/security-update_2024-01-v1.0.php
Die Dateien werden via FTP hochgeladen und müssen überschrieben werden. Dann ist auch schon alles.
Die Dateien existieren in dieser Form auch in den früheren Versionen. Wir haben es bisher bei 4.3.x und 4.4.x sowie 4.5.x getestet. Auch hier kann man die Dateien einfach überschreiben, sollte aber vorher die originalen Dateien runterladen und so sichern.
Update 14:10 Uhr
Die neuste Version des Updates enthält auch noch
- themes/Honeygrid/html/system/address_book_parcelshopfinder_result.html
- themes/Malibu/html/system/address_book_parcelshopfinder_result.html
- gambio_updater/updates/SecurityUpdate202401/configuration.ini
- cache/update_needed.flag
Letztere beiden sind nur dafür da in der Updatehistorie den Sicherheitspatch zu hinterlegen. Versionen unter 4.6 können dies nicht ausführen. Diese laden den Ordner gambio_updater und cache einfach nicht mit hoch. Die Sicherheitslücke ist auch ohne das Ausführen des Updaters geschlossen. Es ist dann nur nirgends hinterlegt, dass das Update gemacht wurde. Kein Drama.
Das ganze betrifft in Bezug auf die Funktionen des Shops den DHL Paketbox-Finder. Wer den also nicht einsetzt, wird sowieso keine Probleme in der Funktionsweise haben. Wenn man ihn einsetzt und eine Version vor 4.6 hat, muss man einfach testen, ob alles funktioniert.
Sollte es nicht funktionieren, einfach die alten Dateien wieder einspielen und den Shop so schnell wie möglich updaten.
Die Dateien hängen wir hier mit an (Stand 26.01.2024 / 12:29 Uhr), da Gambio den Sicherheitspatch zum Zeitpunkt des Postings noch nicht geändert hatte. Er also noch eine Datei gar nicht enthält.
Update 13:44 Uhr: Gambio hat einen neuen Patch veröffentlicht, wo alle Dateien enthalten sind.
Kommunikation, Krisenmanagement und Reaktion auf eklatante Sicherheitslücken sind bei Gambio in diesem Fall absolut unterirdisch. Das muss intern dringend aufgearbeitet werden.
Update 20:18 Uhr
Offenbar ist man sich bei Gambio bewusst, dass die Aktion eher so lala war. Wir haben dann noch eine Mail erhalten, deren Inhalt wir nicht wörtlich veröffentlichen werden. Aber es wurde eine Kontaktmöglichkeit für wichtige, sicherheitsrelevante Themen eingerichtet, die direkt die korrekten Leute erreicht. Man hat auch Besserung bei der Kommunikation gelobt. Schauen wir mal, ob da wirklich was passiert. Ein Mailverteiler, der Kunden mit aktivem Supportvertrag in so einem Fall unmittelbar und direkt per Mail informiert, ist aus meiner Sicht das Mindeste.
Und ein interner Ablaufplan, der klar regelt, wie bei so einem Fall vorgegangen wird, ist auch unumgänglich. Den gab es, zumindest so der Eindruck von außen, bisher nicht.
Da der Patch mittlerweile auch über den Store bezogen werden kann, lassen wir es an der Stelle aber gut sein.
Rico ist Gründer und Inhaber von Orange Raven. Er ist seit über 10 Jahren als Marketing Experte (Studium Uni) speziell für Gambio und WordPress unterwegs.
Google Reviews
Super kompetente Betreuung! Wir haben bei Gambio mit den "301ern" Probleme gehabt, und Rico hat uns sehr gut weitergeholfen. Daher klare Empfehlung!
Firma Raummanufactur18. August 2018
