Shopware 5.5.2 Security Patch

Shopware 5.5.2 Security Patch.

Shopware 5.5.2 is nu beschikbaar. Deze security patch bevat meerdere beveiligingsverbeteringen, bugfixes en optimalisaties. Daarnaast heeft Shopware ook meerdere kwetsbaarheden kunnen afsluiten op het “matige tot zeer lage” dreigingsniveau. De volgende beveiligingslekken worden opgelost met deze release: het toelaten van XSS-aanvallen wanneer CSRF-bescherming is uitgeschakeld en Geverifieerde backend of API-gebruikers die kwaadaardige code kunnen uitvoeren via beeldupload. Alle Shopware-versies van 5.0.0 tot 5.5.1 worden beïnvloed.

De Security update is beschikbaar voor de volgende Shopware-versie:

Deze update vereist Shopware 5.0.0 of nieuwer. Lees eerst de release notes voor alle releases tussen jouw versie en de versie waarnaar je wil updaten. Bekijk hier de release notes.

Lijst met ontdekte en opgeloste veiligheidsproblemen

SW-22575 – Improved the support for custom order- and payment-statuses
SW-20804 – Meta description length is now configurable
SW-19767 – Fixes problems with incremented failed login counts on guest accounts
SW-19914 – Added pagination to order country select
SW-21967 – Replace file-protocol of file-URL with empty string
SW-21236 – The shop URL is no longer added multiple times in shopping worlds media elements
SW-22462 – Privacy checkbox will be now correct displayed in Edge
SW-22138 – Added voteAverage.average mapping for elastic search indexing
SW-22326 – Added index.max_result_window for ES to config.php to have the possibility to change the maximum amount of shown articles per category
SW-22320 – Fixed the “Immediate delivery”-filter condition for ElasticSearch use
SW-22481 – Added new smarty block to emotion index tpl
SW-18792 – Variants of a product can now be sorted by stock
SW-20226 – Added column “active” for product feed-list in the backend
SW-20233 – Plugin Manager reloads now on plugin update failures
SW-20325 – Alert window added when overwriting or deleting documents
SW-20552 – Voucher Extjs Model definition fixed
SW-20765 – Company and department will be shown in pdf documents if corresponding variables are filled
SW-20766 – Added some newsletter events for un-/subscribe and sendMail
SW-20801 – Remove overlay-class from body-tag in any case while closing the overlay (removed the if-condition)
SW-20870 – Removed article link and delete button for rebate articles from offcanvas
SW-20968 – Added instance check for ES category facet
SW-21019 – Removed unused code that was used for checking the vat-id during registration
SW-21228 – Fixed default value of required in config.xsd
SW-21304 – Plugin configurations are sorted by their order in config.xml
SW-21305 – Added `Theme` typehint to class `LessDefinition`
SW-21306 – Add possibility to remove a supplier image via REST API
SW-21359 – Retry-After header added to maintenance page
SW-21447 – Added method ‘getListQueryBuilder’ to ‘Shopware/Models/Order/Repository.php’
SW-21586 – Filling the href-attribute of the wrapping a-tag of the thumbnails on detail page with the correct image url
SW-21605 – Use `getRawBody()` instead of `php://input` in `JsonRequest`
SW-21813 – Take the current configuration values for thumbnail quality, high-res thumbnail quality and generation of high-res thumbnails into account when creating a new sub-album.
SW-21925 – In the article module preview now the standard shop is preselected
SW-21949 – Article Slider can now be sorted by random products
SW-22016 – Added event to the variant generation
SW-22081 – Removed unused function in Emotion widget
SW-22234 – Added new block `frontend_listing_box_article_image_attributes` in `listing/product-box/product-image.tpl`
SW-22311 – Added new entries for `curl_exec` and `curl_multi_exec` to the system requirements list.
SW-22341 – Added paging compatibility for the custom “sPage” short parameter
SW-22357 – Fixes generation of DOI link in non-frontend contexts
SW-22359 – Added numeric amounts for basket items
SW-22361 – `\Shopware\Models\Form\Repository::getListQueryBuilder` can now be called without parameters
SW-22373 – Added amountNumeric and priceNumeric to order items in template
SW-22409 – Time difference of MySQL and PHP is now displayed in system info
SW-22471 – Added scrollbar to shopping world attributes
SW-22487 – Added event in the notification plugin to be able to modify the QueryBuilder
SW-22522 – Outsourced variant link change to own method
SW-22525 – Improves migration from Shopware 4 to 5
SW-22555 – Parameters in data-attributes are now applied automatically in the `swRegister` plugin
SW-22570 – Productstreams in categories are now translatable

Hoe installeer ik de patch?

Er zijn twee manieren om jouw Shopware-omgeving te updaten.

Optie 1. Shopware updaten via de downloadpagina

Je kunt het automatische update proces gebruiken of je kunt jouw omgeving eenvoudigweg updaten via de Github downloadpagina. Kijk hier voor de download.

Optie 2. Shopware updaten via de plugin

Het is tevens mogelijk om Shopware te updaten via de Shopware Security Plugin. Je kunt de Shopware Security Plugin downloaden via de plugin shop of gebruik de Plugin Manager van jouw Shopware Backend. Download de plugin en volg daarna onderstaande stappen. Kijk hier voor het downloaden van de plugin.

1. Installeer en activeer de plugin.

2. Als je de plugin al gebruikt kan je deze eenvoudig bijwerken naar de nieuwste versie om jouw Shopware-omgeving te beveiligen.

Let op: mocht je problemen ondervinden tijdens het bijwerken van de plugin, dan kun je deze issues uitschakelen via de plugin instellingen.

Updaten, wel of niet?

Updaten is niet geheel zonder risico, maak daarom altijd een back-up en test uitvoerig. Zorg ervoor dat je de patch eerst in een ontwikkelomgeving implementeert en test om te bevestigen dat deze werkt zoals verwacht. Nog geen ontwikkelomgeving? Bekijk dan onze handleiding om zelf een ontwikkelomgeving op te zetten: Shopware ontwikkelomgeving opzetten.

By |2019-01-18T13:32:48+00:00oktober 22nd, 2018|Beveiliging, Shopware|0 Comments

Leave A Comment

Wij maken gebruik van cookies. Door op 'OK' te klikken geef je aan akkoord te zijn met het gebruik van cookies en het verzamelen van informatie. Meer informatie over cookies OK