Shopware 5.5.4 Security Patch

Shopware 5.5.4 Security Patch.

Shopware 5.5.4 is nu beschikbaar. Deze security patch bevat meerdere beveiligingsverbeteringen, bugfixes en optimalisaties voor Shopware-versies 5.0.0 tot 5.5.3. Daarnaast heeft Shopware ook meerdere kwetsbaarheden kunnen afsluiten op het “laag tot hoge” dreigingsniveau. De volgende beveiligingslekken worden opgelost met deze release:

SW-23009, SW-23010: de uitvoering van geverifieerde externe code in de backend
SW-23011: de paddoorloop met live mediamigratie is ingeschakeld
SW-23012: hiermee kan een Validation Bypass-aanval worden uitgevoerd
SW-23008: MITM-kwetsbaarheid in updatemechanisme voor onjuist geconfigureerde serversystemen

De Security update is beschikbaar voor de volgende Shopware-versie:

Deze update vereist Shopware 5.0.0 of nieuwer. Lees eerst de release notes voor alle releases tussen jouw versie en de versie waarnaar je wil updaten. Bekijk hier de release notes.

Lijst met ontdekte en opgeloste veiligheidsproblemen
  • SW-17962Fixed an issue in the jQuery modal plugin
    SW-18078Changed mailer config elements to combo box to simplify configuration
    SW-19337Clarified SELECT statement of article SEO query
    SW-19565Cronjob entries are no longer created twice with Plugin Updates
    SW-19823Rest API batch mode doctrine recovery fixed
    SW-20020Rest API configuration groups will be now lowercase compared
    SW-20236Root directory is now created with dirname() and not with realpath() anymore to avoid unexpected behaviour when using streams
    SW-20377Expanded regex used for rewriting media filenames, so that special symbols which were not filtered before are now taken into account aswell
    SW-20399Document box will be not displayed on new entries
    SW-20498Improved functional testing for plugins
    SW-20583Changed properties to meet the requirements for structured data of blog articles
    SW-20598Expert mode related configuration of snippet management will now be saved
    SW-20612File permission of templates files now configureable
    SW-20648Use ustid from order when available in documents
    SW-20708Improved code style
    SW-20735Added changetime to sArticles variable
    SW-21126Fix empty baskets for onetime customers with SLT cookies
    SW-21161New grunt task “development”
    SW-21229Free text field management can have now fields with country selection
    SW-21307Ajax search uses now also min search term
    SW-21344Changed the captcha template and the corresponding jQuery plugin, so that the honeypot captcha is now included serverside instead of being fetched asynchronously.
    SW-21387Added country filter for backend’s customer overview
    SW-21536New feature to add own product box layouts to the listing via an own ExtJS plugin
    SW-21576Added missing address attributes to sOrder mail
    SW-21606Removed Internet Explorer check in Ajax Variants
    SW-21675The dimensions of svg files are now persisted with the media object
    SW-21682Added new lifecycle-events for plugins
    SW-21769Attributes can be created with default values via CRUD-service
    SW-21998Model objects can be now downloaded from product downloads
    SW-22077Added listStore to Shopware.apps.Order.view.detai.Window
    SW-22078Adding items to the cart will be now laststock used from variant
    SW-22079Removed empty space on password reset page
    SW-22248Cronjob execution with interval 0 fixed
    SW-22249ProductBoxLayout is now being considered for infinite scrolling in manufacturer listing
    SW-22251Removed static “shopware” font family
    SW-22339Added forwarding to new manufacturer listing for old supplier urls (SW4)
    SW-22355Small corrections on Model typehints
    SW-22356Modal can now be linked in shopping worlds
    SW-22387Added product information to sARTICLEAVAILABLE
    SW-22443Open Sans file size reduced
    SW-22452Added new font-face-definitions for OpenSans
    SW-22477Improved typehints and comments in some classes
    SW-22512Fixed mobile menu bug of custom pages that have the same id as the root category
    SW-22554Product notification have now attributes
    SW-22568AWS Endpoint can be now configured
    SW-22591Added privilege check for sensitive fields for getting a single user with the REST-API
    SW-22970Rsync is being used if available to clear caches faster
Hoe installeer ik de patch?

Er zijn twee manieren om jouw Shopware-omgeving te updaten.

Optie 1. Shopware updaten via de downloadpagina

Je kunt het automatische update proces van Shopware gebruiken, of je kunt jouw omgeving updaten via de Github downloadpagina.

Optie 2. Shopware updaten via de plugin

Naast de automatische update proces is het ook mogelijk om jouw Shopware installatie te updaten via de Shopware Security Plugin. Je kunt de Shopware Security Plugin downloaden via de plugin shop of gebruik de Plugin Manager van jouw Shopware Backend. Download versie 1.1.13 van de plugin en volg daarna onderstaande stappen.

1. Installeer en activeer de plugin.

2. Als je de plugin al gebruikt kan je deze eenvoudig bijwerken naar de nieuwste versie om jouw Shopware-omgeving te beveiligen.

Let op: mocht je problemen ondervinden tijdens het bijwerken van de plugin, dan kun je deze issues uitschakelen via de plugin instellingen.

Updaten, wel of niet?

Updaten is niet geheel zonder risico, maak daarom altijd een back-up en test alles zorgvuldig. Implementeer de patch eerst in een ontwikkelomgeving en test de nieuwste versie om te bevestigen dat deze werkt zoals verwacht. Nog geen ontwikkelomgeving? Maak die dan eerst aan. Het opzetten van een ontwikkelomgeving doe je door de stappen te volgen in onze handleiding: Shopware ontwikkelomgeving opzetten.

By |2019-02-01T11:07:45+00:00december 5th, 2018|Beveiliging, Shopware|0 Comments

Leave A Comment

Wij maken gebruik van cookies. Door op 'OK' te klikken geef je aan akkoord te zijn met het gebruik van cookies en het verzamelen van informatie. Meer informatie over cookies OK