OXID eSales informiert über eine kritische Sicherheitslücke im OXID eShop, welche sämtliche Shopversionen betrifft. Für die aktuellste Shopversion wurde ein Sicherheitsupdate veröffentlicht.
Bitte beachten Sie die Ankündigung im OXID eSales Forum:
[WICHTIG] Information über eine kritische Sicherheitslücke in OXID eShop (alle Versionen)
und die detaillierte Vorgehensweise im OXID Blog:
[URGENT] Information about a critical security issue in OXID eShop (all versions)
In den FAQ werden ebenfalls wichtige Infos bereit gestellt:
FAQ OXID Security Bulletin 2016-001
Die Updates für die CE – Versionen können hier bezogen werden:
Cumulative Packages.
Für Shopversionen kleiner als 4.8.0 wird kein entsprechendes Update bereitgestellt.
Nur in den Versionen 4.8.12 (EE: 5.1.12) und 4.9.9 (EE: 5.2.9) wurde die Sicherheitslücke geschlossen.
Zusammenfassung / ToDo:
- Zusätzlicher .htaccess / .htpasswd-Schutz des Ordners admin/
- Neuen Shopadmin anlegen und oxdefaultadmin löschen (meist Kundennr. 1)
- Cumulative Update auf Version 4.8.12 oder 4.9.9 installieren.
Alle Angaben ohne Gewähr. Sollten Sie bei der dringend erforderlichen Umsetzung o.g. Punkte Unterstützung benötigen, kontaktieren Sie uns bitte.