Shopware 5.5.4 security patch

Shopware 5.5.4 Security Patch.

Shopware 5.5.4 is nu beschikbaar. Deze security patch bevat meerdere beveiligingsverbeteringen, bugfixes en optimalisaties voor Shopware-versies 5.0.0 tot 5.5.3. Daarnaast heeft Shopware ook meerdere kwetsbaarheden kunnen afsluiten op het “laag tot hoge” dreigingsniveau. De volgende beveiligingslekken worden opgelost met deze release:

SW-23009, SW-23010: de uitvoering van geverifieerde externe code in de backend
SW-23011: de paddoorloop met live mediamigratie is ingeschakeld
SW-23012: hiermee kan een Validation Bypass-aanval worden uitgevoerd
SW-23008: MITM-kwetsbaarheid in updatemechanisme voor onjuist geconfigureerde serversystemen

De Security update is beschikbaar voor de volgende Shopware-versie:

Deze update vereist Shopware 5.0.0 of nieuwer. Lees eerst de release notes voor alle releases tussen jouw versie en de versie waarnaar je wil updaten. Bekijk hier de release notes.

Lijst met ontdekte en opgeloste veiligheidsproblemen

  • SW-17962Fixed an issue in the jQuery modal plugin
  • SW-18078Changed mailer config elements to combo box to simplify configuration
  • SW-19337Clarified SELECT statement of article SEO query
  • SW-19565Cronjob entries are no longer created twice with Plugin Updates
  • SW-19823Rest API batch mode doctrine recovery fixed
  • SW-20020Rest API configuration groups will be now lowercase compared
  • SW-20236Root directory is now created with dirname() and not with realpath() anymore to avoid unexpected behaviour when using streams
  • SW-20377Expanded regex used for rewriting media filenames, so that special symbols which were not filtered before are now taken into account aswell
  • SW-20399Document box will be not displayed on new entries
  • SW-20498Improved functional testing for plugins
  • SW-20583Changed properties to meet the requirements for structured data of blog articles
  • SW-20598Expert mode related configuration of snippet management will now be saved
  • SW-20612File permission of templates files now configureable
  • SW-20648Use ustid from order when available in documents
  • SW-20708Improved code style
  • SW-20735Added changetime to sArticles variable
  • SW-21126Fix empty baskets for onetime customers with SLT cookies
  • SW-21161New grunt task “development”
  • SW-21229Free text field management can have now fields with country selection
  • SW-21307Ajax search uses now also min search term
  • SW-21344Changed the captcha template and the corresponding jQuery plugin, so that the honeypot captcha is now included serverside instead of being fetched asynchronously.
  • SW-21387Added country filter for backend’s customer overview
  • SW-21536New feature to add own product box layouts to the listing via an own ExtJS plugin
  • SW-21576Added missing address attributes to sOrder mail
  • SW-21606Removed Internet Explorer check in Ajax Variants
  • SW-21675The dimensions of svg files are now persisted with the media object
  • SW-21682Added new lifecycle-events for plugins
  • SW-21769Attributes can be created with default values via CRUD-service
  • SW-21998Model objects can be now downloaded from product downloads
  • SW-22077Added listStore to Shopware.apps.Order.view.detai.Window
  • SW-22078Adding items to the cart will be now laststock used from variant
  • SW-22079Removed empty space on password reset page
  • SW-22248Cronjob execution with interval 0 fixed
  • SW-22249ProductBoxLayout is now being considered for infinite scrolling in manufacturer listing
  • SW-22251Removed static “shopware” font family
  • SW-22339Added forwarding to new manufacturer listing for old supplier urls (SW4)
  • SW-22355Small corrections on Model typehints
  • SW-22356Modal can now be linked in shopping worlds
  • SW-22387Added product information to sARTICLEAVAILABLE
  • SW-22443Open Sans file size reduced
  • SW-22452Added new font-face-definitions for OpenSans
  • SW-22477Improved typehints and comments in some classes
  • SW-22512Fixed mobile menu bug of custom pages that have the same id as the root category
  • SW-22554Product notification have now attributes
  • SW-22568AWS Endpoint can be now configured
  • SW-22591Added privilege check for sensitive fields for getting a single user with the REST-API
  • SW-22970Rsync is being used if available to clear caches faster

Hoe installeer ik de patch?

Er zijn twee manieren om jouw Shopware-omgeving te updaten.

Optie 1. Shopware updaten via de downloadpagina

Je kunt het automatische update proces van Shopware gebruiken, of je kunt jouw omgeving updaten via de Github downloadpagina.

Optie 2. Shopware updaten via de plugin

Naast het automatische update proces is het ook mogelijk om jouw Shopware installatie te updaten via de Shopware Security Plugin. Je kunt de Shopware Security Plugin downloaden via de plugin shop of gebruik de Plugin Manager van jouw Shopware Backend. Download versie 1.1.13 van de plugin en volg daarna onderstaande stappen.

1. Installeer en activeer de plugin.

2. Als je de plugin al gebruikt kan je deze eenvoudig bijwerken naar de nieuwste versie om jouw Shopware-omgeving te beveiligen.

Let op: mocht je problemen ondervinden tijdens het bijwerken van de plugin, dan kun je deze issues uitschakelen via de plugin instellingen.

Updaten, wel of niet?

Updaten is niet geheel zonder risico, maak daarom altijd een back-up en test alles zorgvuldig. Implementeer de patch eerst in een ontwikkelomgeving en test de nieuwste versie om te bevestigen dat deze werkt zoals verwacht. Nog geen ontwikkelomgeving? Maak die dan eerst aan. Het opzetten van een ontwikkelomgeving doe je door de stappen te volgen in onze handleiding: Shopware ontwikkelomgeving opzetten.