Jetzt installieren: Shopware Sicherheitsupdate 01/2017
Anfang der Woche hat Shopware mitgeteilt, dass eine kritische Sicherheitslücke in der Shopsoftware entdeckt worden ist und per Update auf die Version 5.2.15 oder mithilfe eines Plugins behoben werden muss. In den vergangenen Tagen wurde dann bemerkt, dass durch eine zuvor übersehene weitere, verwandte Schwachstelle auch weiterhin Angriffe möglich wären. Nun wurde ein Update zum Update zur Verfügung gestellt, mit dem sich das Problem vollständig beheben lässt. Das aktuelle Sicherheitsupdate muss umgehend in jedem Shopware Onlineshop durchgeführt werden.
Worum genau geht es?
In Shopware wurde eine Sicherheitslücke entdeckt, durch die Angreifer unter bestimmten Voraussetzungen unautorisierten Fremdcode in Shopware ausführen können. Die daher als kritisch einzustufende Sicherheitslücke kann Auswirkungen auf das Gesamtsystem haben und betrifft alle Shopware Versionen von 4.0.0 bis einschließlich 5.2.14 bzw. 5.2.15. Daher müssen sich nun alle Betreiber von Shopware Shops um die Installation des Updates oder eine Aktualisierung des Systems auf Shopware 5.2.16 bemühen.
Die Rechtslage: Sicherheitsupdates sind für Shopbetreiber verpflichtend
Das seit dem 25. Juli 2015 geltende IT-Sicherheitsgesetz beinhaltet auch für Website- und Shopbetreiber wichtige Bestimmungen. Im Wortlaut des Bundesamts für Sicherheit in der Informationstechnik heißt es in diesem Zusammenhang:
Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.
Und um zu erklären, an welche Maßnahmen dabei gedacht ist, präzisiert die Bundesbehörde, eine “grundlegende und wirksame Maßnahme” sei “das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches”. Wer diese Richtlinien nicht einhält, kann zu einer Bußgeldzahlung von bis zu 50.000 Euro herangezogen werden.
Was genau ist jetzt zu tun?
Wer einen Shopware Onlineshop betreibt, muss nun umgehend aktiv werden und in seinem Shop für Sicherheit sorgen. Dafür gibt es – wie immer in solchen Fällen – zwei Möglichkeiten. Es muss entweder das aktuelle Sicherheitsupdate installiert, oder eine Aktualisierung des Systems auf die Version 5.2.16 durchgeführt werden. Die Installation des Sicherheitsupdates, die für die Betreiber von Shops die noch auf einer Version Shopware 4.x laufen, sogar die einzige Möglichkeit ist, kann entweder mithilfe eines Patch-Plugins oder als manueller Fix durchgeführt werden. Das Update auf Shopware 5.2.16 kann – sofern der Shop die technischen Anforderungen dafür erfüllt – per Auto-Updater durchgeführt oder von Hand heruntergeladen und installiert werden.
Außerdem muss zusätzlich überprüft werden, ob in dem Shop Themes oder Plugins eingesetzt werden, die den als potenziell sicherheitsrelevant eingestuften Template-Code ausführen oder überschreiben. Ist dies der Fall, müssen von Shopware im Einzelnen angegebene Änderungen in der abgeleiteten Datei vorgenommen werden.
Shopware hilft weiter – und wir auch
Alle wichtigen Informationen zu den technischen Details für das Schließen der jüngsten Sicherheitslücke in Shopware sind übersichtlich in einem Wiki-Artikel auf shopware.com zusammengestellt.
Wer bei der Absicherung seines Shopware Onlineshops Hilfe benötigt, kann sich gern an uns wenden. Wir bringen Ihren Shop rasch und sicher auf den neuesten Stand.