Shopware thumbnail

Shopware 5.5.4 Security Patch.

Shopware 5.5.4 is nu beschikbaar. Deze security patch bevat meerdere beveiligingsverbeteringen, bugfixes en optimalisaties voor Shopware-versies 5.0.0 tot 5.5.3. Daarnaast heeft Shopware ook meerdere kwetsbaarheden kunnen afsluiten op het "laag tot hoge" dreigingsniveau. De volgende beveiligingslekken worden opgelost met deze release:

SW-23009, SW-23010: de uitvoering van geverifieerde externe code in de backend
SW-23011: de paddoorloop met live mediamigratie is ingeschakeld
SW-23012: hiermee kan een Validation Bypass-aanval worden uitgevoerd
SW-23008: MITM-kwetsbaarheid in updatemechanisme voor onjuist geconfigureerde serversystemen

De Security update is beschikbaar voor de volgende Shopware-versie:

Deze update vereist Shopware 5.0.0 of nieuwer. Lees eerst de release notes voor alle releases tussen jouw versie en de versie waarnaar je wil updaten. Bekijk hier de release notes.

Lijst met ontdekte en opgeloste veiligheidsproblemen
  • SW-17962 - Fixed an issue in the jQuery modal plugin
    SW-18078 - Changed mailer config elements to combo box to simplify configuration
    SW-19337 - Clarified SELECT statement of article SEO query
    SW-19565 - Cronjob entries are no longer created twice with Plugin Updates
    SW-19823 - Rest API batch mode doctrine recovery fixed
    SW-20020 - Rest API configuration groups will be now lowercase compared
    SW-20236 - Root directory is now created with dirname() and not with realpath() anymore to avoid unexpected behaviour when using streams
    SW-20377 - Expanded regex used for rewriting media filenames, so that special symbols which were not filtered before are now taken into account aswell
    SW-20399 - Document box will be not displayed on new entries
    SW-20498 - Improved functional testing for plugins
    SW-20583 - Changed properties to meet the requirements for structured data of blog articles
    SW-20598 - Expert mode related configuration of snippet management will now be saved
    SW-20612 - File permission of templates files now configureable
    SW-20648 - Use ustid from order when available in documents
    SW-20708 - Improved code style
    SW-20735 - Added changetime to sArticles variable
    SW-21126 - Fix empty baskets for onetime customers with SLT cookies
    SW-21161 - New grunt task "development"
    SW-21229 - Free text field management can have now fields with country selection
    SW-21307 - Ajax search uses now also min search term
    SW-21344 - Changed the captcha template and the corresponding jQuery plugin, so that the honeypot captcha is now included serverside instead of being fetched asynchronously.
    SW-21387 - Added country filter for backend's customer overview
    SW-21536 - New feature to add own product box layouts to the listing via an own ExtJS plugin
    SW-21576 - Added missing address attributes to sOrder mail
    SW-21606 - Removed Internet Explorer check in Ajax Variants
    SW-21675 - The dimensions of svg files are now persisted with the media object
    SW-21682 - Added new lifecycle-events for plugins
    SW-21769 - Attributes can be created with default values via CRUD-service
    SW-21998 - Model objects can be now downloaded from product downloads
    SW-22077 - Added listStore to Shopware.apps.Order.view.detai.Window
    SW-22078 - Adding items to the cart will be now laststock used from variant
    SW-22079 - Removed empty space on password reset page
    SW-22248 - Cronjob execution with interval 0 fixed
    SW-22249 - ProductBoxLayout is now being considered for infinite scrolling in manufacturer listing
    SW-22251 - Removed static "shopware" font family
    SW-22339 - Added forwarding to new manufacturer listing for old supplier urls (SW4)
    SW-22355 - Small corrections on Model typehints
    SW-22356 - Modal can now be linked in shopping worlds
    SW-22387 - Added product information to sARTICLEAVAILABLE
    SW-22443 - Open Sans file size reduced
    SW-22452 - Added new font-face-definitions for OpenSans
    SW-22477 - Improved typehints and comments in some classes
    SW-22512 - Fixed mobile menu bug of custom pages that have the same id as the root category
    SW-22554 - Product notification have now attributes
    SW-22568 - AWS Endpoint can be now configured
    SW-22591 - Added privilege check for sensitive fields for getting a single user with the REST-API
    SW-22970 - Rsync is being used if available to clear caches faster
Hoe installeer ik de patch?

Er zijn twee manieren om jouw Shopware-omgeving te updaten.

Optie 1. Shopware updaten via de downloadpagina

Je kunt het automatische update proces van Shopware gebruiken, of je kunt jouw omgeving updaten via de Github downloadpagina.

Optie 2. Shopware updaten via de plugin

Naast de automatische update proces is het ook mogelijk om jouw Shopware installatie te updaten via de Shopware Security Plugin. Je kunt de Shopware Security Plugin downloaden via de plugin shop of gebruik de Plugin Manager van jouw Shopware Backend. Download versie 1.1.13 van de plugin en volg daarna onderstaande stappen.

1. Installeer en activeer de plugin.

2. Als je de plugin al gebruikt kan je deze eenvoudig bijwerken naar de nieuwste versie om jouw Shopware-omgeving te beveiligen.

Let op: mocht je problemen ondervinden tijdens het bijwerken van de plugin, dan kun je deze issues uitschakelen via de plugin instellingen.

Updaten, wel of niet?

Updaten is niet geheel zonder risico, maak daarom altijd een back-up en test alles zorgvuldig. Implementeer de patch eerst in een ontwikkelomgeving en test de nieuwste versie om te bevestigen dat deze werkt zoals verwacht. Nog geen ontwikkelomgeving? Maak die dan eerst aan. Het opzetten van een ontwikkelomgeving doe je door de stappen te volgen in onze handleiding: Shopware ontwikkelomgeving opzetten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *