Sicherheitslücke in PrestaShop – Juli 2015

ps-securityAufgrund einer Sicherheitslücke in PrestaShop werden sofortige Maßnahmen zum Einspielen eines Sicherheitspatches erforderlich, den PrestaShop seit heute, 30.07.2015, allen Shopbetreibern zur Verfügung stellt. Betroffen sind alle Versionen außer PrestaShop 1.6.1.0 und die PrestaShop Cloud.

Die Sicherheitslücke wurde kürzlich vom Sicherheitsexperten Vincent Herbulot entdeckt, der dies an PrestaShop direkt gemeldet hat, damit diese Fixes und das Sicherheitsmodul zeitnah zur Verfügung stellen konnten.

Was verursacht diese Sicherheitslücke und welcher Schaden kann entstehen?

Prinzipiell geht es um gezielte Hackerangriffe, die die Passwörter von PrestaShop in einer Angriffswelle ausprobieren können. Die Passwörter waren in ungepatchten Versionen nicht zufällig und damit nicht sicher genug vor ungewollten Eindringlingen. Dadurch können Hacker ungewollten Zugriff auf das Back Office erlangen und jeder Shopbetreiber weiß, dass dies sehr problematisch ist, wenn Fremde die Daten der eigenen Kunden in die Hand bekommen können.

Wie kann das Sicherheitsupdate eingespielt werden?

Unterstützt werden alle Hauptzweige seit PrestaShop 1.4.x. Nutzer früherer PrestaShop Versionen müssen erst ein Update auf eine aktuelle PrestaShop-Version durchführen. Versionen 1.0, 1.1, 1.2 oder 1.3 werden nicht mehr unterstützt. Für PrestaShop 1.6.1.0 oder die Cloud ist das Sicherheitsupdate nicht notwendig.

Es gibt drei Möglichkeiten, das Sicherheitsupdate einzuspielen

  1. es gibt ein Sicherheitspatch-Modul für die letzten unterstützten Versionen von PrestaShop 1.4.11.0, 1.5.6.2 und 1.6.0.14. Falls Sie eine dieser PrestaShop Versionen haben und EU-Legal und/oder Presta Plus verwenden, ist dies die richtige Vorgehensweise
  2. für die technischen Anwender gibt es ein Patch-File unter Github, das ebenfalls nur mit den letzten Versionen der PrestaShop Hauptreihen funktioniert
  3. für den manuellen Abgleich oder zum Überspielen der Dateien gibt es für die jeweilige Version ein separates zip-Archiv (s. Tabelle). Dieses muss für die jeweilige Version entpackt und auf den Server gespielt werden. Auch im Falle von Overrides sollten die Funktionen angepasst und abgeglichen werden, falls diese betroffen sind.

Kurze Übersicht, über die Bugfix-Möglichkeiten:

PS Version
Modul korrigiert… Patch korrigiert…
1.4 1.4.11.0 und vorher nur 1.4.11.0
1.5 1.5.6.2 und vorher nur 1.5.6.2
1.6 1.6.0.14 und vorher nur 1.6.0.14

Neue PrestaShop Versionen für 1.5.x und 1.4.x

Für die Versionsreihe 1.5.x wurde heute eine neue PrestaShop-Version 1.5.6.3 auf der Download-Seite zur Verfügung gestellt. Ebenfalls für die 1.4.er Reihe gibt es die neue Version 1.4.11.1. Für 1.6.0.14 wird es keine neue Version geben, es wird von PrestaShop geraten, auf die Version 1.6.1.0 upzugraden.

Download-Archiv von PrestaShop mit den neuen Versionen

Ankündigung der PrestaShop Sicherheitslücke Juli 2015 im englischen Blog

4 Schritte, wie Sie Ihren PrestaShop sicherer machen

EU-Legal und Presta Plus

neueste PrestaShop Version (1.6.0.14)

Falls Sie EU-Legal und/oder Presta Plus in Kombination mit dem letzten PrestaShop 1.6.0.14 verwenden, sollten Sie einfach das Sicherheitspatch-Modul installieren.

ältere EU Legal-Versionen / älterer PrestaShop (<= 1.6.0.13)

Falls Sie EU-Legal mit einer älteren PrestaShop-Version nutzen, sollten Sie überlegen, ob ein Update für Sie in Frage kommt, ansonsten ist Möglichkeit 3, der manuelle Abgleich, die einzige Alternative. EU-Legal Override Funktionen sind vom Patch nicht betroffen, daher reicht es, wenn die Core-Dateien /classes/Customer.php, /classes/Tools.php, /controllers/admin/AdminLoginController.php und /controllers/front/PasswordController.php abgeglichen werden.

Keine Zeit und Erfahrung im Einspielen von Sicherheitsupdates?

Nehmen Sie mit uns Kontakt auf 06142-173827 und buchen Sie unsere PrestaShop-Dienstleistungen direkt im Shop. Gerne prüfen wir Ihren PrestaShop, ob dieser von dieser Sicherheitslücke betroffen ist oder spielen für Sie das Modul oder den Patch ein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert