Security bulletin 2023-001

system · February 28, 2023, 4:23pm

Originally published at:
https://docs.oxid-esales.com/de/security/security-bulletins.html#security-bulletin-2023-001

Die Lizenzbedingungen für die Community Edition haben sich am 15.08.2022 geändert. Diejenigen, die bereits zugestimmt haben, wurden im Zuge des Releases informiert.

Wenn Sie die Module für den Patch benötigen und den neuen Lizenzbedingungen noch nicht zugestimmt haben, wenden Sie sich an unser Sales Team:
[email protected]

djelo · March 1, 2023, 9:28am

In dem Bulletin steht, das das Problem in der Version 6.2 bis 6.4 per Modul behoben wird, ab der Version 6.5 per Patch. Wo finde ich denn das Modul für die Versionen 6.2 bis 6.4 dazu?

Viele Grüße,
Michael

system · March 1, 2023, 9:51am

Siehe die Ergänzung oben.

djelo · March 1, 2023, 10:32am

Heißt also im Umkehrschluss, das alle, die noch eine alte Version bis Version 6.4.x unter GPL einsetzen
und nicht auf 6.5 updaten wollen bzw. generell updaten wollen schauen in die Röhre und müssen dann damit leben das der Shop eine Sicherheitslücke hat oder zahlen.

DanielS · March 1, 2023, 10:58am

Das angesprochene Modul enthält 2 Umsetzungen

das Patch für das Security Issue
die zusätzliche Funktion, den Sessionübergabeparameter wirkungslos zu machen

Aus unserer technischen Sicht wird nur der erste Teil gebraucht.
Der zweite Teil ist optional und kann unter bestimmten Konstellationen sogar kontraproduktiv sein. Schnittstellen, die die Session von außen aurufen müssen (z.B. Zahlartenmodule), werden dann unter Umständen nicht mehr funktionieren.

Unabhängig dessen hat die Umsetzung des Patches als Modul noch weitere Nachteile:
Wer das Plugin heute installiert (z.B. in einem 6.4er Shop) und später die Installation aktualisiert (z.B. auf 6.5.2), benötigt das Modul dann nicht mehr. Wenn aber nicht daran gedacht wird, dies wieder zu entfernen, werden dort weiterhin kritische Bereich der Shopsoftware überladen, was ggf. spätere Anpassungen wirkungslos machen kann.

Aus diesen Gründen haben wir auf Basis der OXID CE 6.4 ein Patch erstellt, welches die Schwachstelle in den Shopversionen 6.2 bis einschließlich 6.5.1 beseitigt, ohne die oben genannten Nebenwirkungen mitzubringen. Diese enthält ausschließlich die Lösung für das Security Issue.

Wer das Modul benötigt, wendet sich bitte an die im ersten Post genannte Mailadresse. Unsere Patchlösung findet ihr hier.

djelo · March 1, 2023, 12:00pm

Hallo DanielS,

dann sage ich mal vielen Dank für die Info und das bereitstellen des Patches.

Viele Grüße,
Michael