Sicherheitsupdate 04/2021

Allgemeine Informationen

In diesem Sicherheitsrelease haben wir neben den gewohnten Fehlerkorrekturen eine kritische Sicherheitslücke behoben, sowie zwei weitere Verbesserungen zur allgemeinen Sicherheit vorgenommen. Betroffen sind die Shopware Versionen von 6.1.0 bis einschließlich 6.3.5.2. Folgende Sicherheitslücken wurden mit diesem Sicherheitsupdate behoben:

NEXT-14533 - After order payment process manipulatable
NEXT-14188 - Protect .env via .htaccess in shopware root!
NEXT-14278 - Persistent Cross-site Scripting Vulnerability
NEXT-14482 - Aggregations are not protected by ApiAware

Um die mit NEXT-14188 & NEXT-14278 vorgenommenen Korrekturen zu nutzen, stellen Sie bitte sicher, dass Sie Ihre Serverkonfiguration entsprechend anzupassen.

Nginx:
https://developer.shopware.com/docs/resources/references/config-reference/server/nginx

Apache:
Mit dem Update auf 6.3.5.3 oder der Installation des Sicherheits-Plugins wird die htaccess aktualisiert. Um dies händisch vorzunehmen, kopiere diese Datei: https://github.com/shopware/production/blob/6.3/.htaccess

Wir empfehlen ein Update auf die aktuelle Version 6.3.5.3. Sie können das Update auf 6.3.5.3 regelmäßig über den Auto-Updater oder direkt über die Download-Übersicht beziehen.

https://www.shopware.com/en/download/#shopware-6

Für ältere Versionen von 6.1 und 6.2 sind entsprechende Sicherheitsmaßnahmen auch über ein Plugin verfügbar. Für den vollen Funktionsumfang empfehlen wir ein Update auf die aktuelle Shopware-Version.

https://store.shopware.com/en/detail/index/sArticle/518463/number/Swag136939272659