Unter bestimmten Vorraussetzungen ist es Angreifern möglich beliebigen Schadcode in Shopware auszuführen. Dies stellt eine kritische Sicherheitslücke dar. Davon betroffen sind die Versionen 4.0.0 bis einschließlich 5.2.1.5. Es ist zwingend ein Update erforderlich auf die Version 5.2.1.6 durchzuführen.
Das Update für das Update
Mit dem Sicherheitsupdate vom 23.01.17 ist es unter bestimmten Vorraussetzungen immer noch möglich diese Sicherheitslücke auszunutzen. Zwei Tage später, am 25.01.17, folgte dann eine überarbeitete Version des Sicherheitsupdates und Patch-Plugin.
Für Shopbetreiber, die nicht die Möglichkeit haben ein Update auf die Version 5.2.1.6 zu machen, stellt Shopware einen Patch-Plugin (SwagSecurityHotFix201701) zur Verfügung.
Shopware stellt ausführliche Informationen unter folgendem Link zur Verfügung:
http://community.shopware.com/Wichtiges-Sicherheitsupdate-01-2017_detail_1988_482.html
Allgemeine Informationen zu Sicherheitsupdates
Sind Sicherheitsupdates verpflichtend – muss ich aktiv werden?
Kurz gesagt: Ja! In dieser Situation ist die Rechtslage recht eindeutig. Mit dem Inkrafttreten des IT-Sicherheitsgesetz am 25.Juli 2015 ist jeder gewerbliche Webseiten- bzw. Shop-Betreiber verpflichtet, dafür Sorge zu tragen, dass Kundendaten und benutzte IT-Systeme vor unerlaubtem Zugriff geschützt sind. Darunter fällt natürlich auch das Einspielen von Sicherheitsupdates.
Im Wortlaut des BSI heisst es hier:
Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.
Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.
Um hohe Bußgelder zu vermeiden, sollten Sie also umgehend aktiv werden. Bedenken Sie auch, dass im Falle eines Hacks neben den Umsatzeinbußen durch die darauf folgende Shop-Sperrung, auch Ihr guter Ruf als Shopbetreiber auf dem Spiel steht.
