Heute hat PrestaShop bekannt gegeben, dass es eine Sicherheitslücke im System gibt. Es gibt offensichtlich ein Problem mit dem Algorithmus des Passwort Generators bzw. mit dessen Zufälligkeitsfaktor, was dazu führen kann, dass Hackern der Zutritt zum Front-oder Backoffice des Onlineshops gelingen könnte. Wie PrestaShop angibt sei das Problem nicht trivial – aber wer möchte schon Fremden die Möglichkeit geben in Ihrem Backoffice Eingriffe vornehmen zu können. Oder wer möchte schon, dass die Kundenaccounts gehackt werden und Fremde auf das Kundenkonto zugreifen und darüber einkaufen können. Ein Update sollte also dringend gefahren werden.
Vom Sicherheitsproblem sind alle PrestaShop Versionen betroffen, vor allem aber 1.4.x, 1.5.x, und 1.6.x bis 1.6.0.14, außer der Version 1.6.1.0, bei der das Problem schon behoben wurde und der PrestaShop Cloud. Dies bedeutet, dass die Sicherheitslücke alle auf PrestaShop basierenden Onlineshops treffen kann, welche noch nicht auf Version 1.6.1.0 upgegraded wurden.
Wie PrestaShop verlauten ließ, wurde das Sicherheitsproblem von einer externen Person (Vincent Herbulot) entdeckt und der OpenSource Anbieter sofort davon in Kenntnis gesetzt. Die Entwickler haben mit Hilfe von Vincent Herbulot umgehend die Arbeit aufgenommen, um für jede Version ein entsprechendes Sicherheitsupdate zu programmieren um die Sicherheitslücke zu schließen.
PrestaShop bietet neben den Updates eine umfangreiche Anweisung, wie das Problem zu beheben ist. Für technisch nicht ganz so versierte Kunden wird ein sog. Security Patch Module angeboten. Dieses Modul funktioniert garantiert für die neuesten Versionen von 1.4, 1.5 und 1.6 – also die Versionen 1.4.11.0, 1.5.6.2 und 1.6.0.14 und sollte auch für die älteren Versionen dieser drei Hauptversionen (Branches) funktionieren. Dafür gibt PrestaShop aber keine Garantie. Bei manuellen Änderungen an Core-Dateien müssen die Patches von Hand eingebaut werden.
Für technikaffine Kunden und Programmierer bietet PrestaShop einen einzelnen Patch für die jeweils neueste Version jedes Branches an. Dieser kann direkt über GitHub heruntergeladen werden. Im Gegensatz zum Modul funktionieren diese Patches garantiert nur auf der neuesten Version eines jeden Branches – also 1.4.11.0, 1.5.6.2 und 1.6.0.14.
Des Weiteren empfiehlt PrestaShop dringend jeden Branch zu kontrollieren, ob auch alle aktuellen Updates gemacht wurden bevor das Modul installiert wird. Ist das nicht der Fall, ist es auch möglich die aktualisierten Datei Archive des jeweiligen Branches herunterzuladen. Diese enthalten lediglich die Dateien, die seit dem Update auf die aktuellste Version geändert wurden. Sollten an den alten Dateien keine Änderungen vorgenommen worden sein, können die alten Dateien einfach durch die Neuen ersetzt werden.
PrestaShop weist weiterhin darauf hin nicht zu vergessen die nötigen Vorkehrungen zu treffen bevor man das Modul installiert, vor dem Einspielen des Patches oder vor dem Uploaden der geänderten Files. Dies gilt gerade für Core files, die stark verändert wurden.
Ferner stellt PrestaShop noch klar, dass das Modul nicht in allen Windows Server Konfigurationen funktioniert.
Nutzern von PrestaShop Versionen 1.0, 1.1, 1.2 und 1.3 wird ans Herz gelegt Ihr System upzudaten, da weder Modul noch Patch hier funktionieren werden. Außerdem gibt es für diese Versionen schon seit ein paar Jahren keine Updates mehr.
PrestaShop bittet öffentlich darum, dass potentielle Sicherheitslücken direkt an PrestaShop gemeldet werden ohne vorher veröffentlicht zu werden. Dies hilft in den meisten Fällen den Schaden einzudämmen, Hackern keine Einladung zu bieten und sofort die passende Software bereit zu stellen zum Lösen des Problems.
Falls Sie auch einen PrestaShop Onlinestore besitzen der aktuell gefährdet ist und Hilfe benötigen, stehen wir Ihnen als offizieller PrestaShop Partner selbstverständlich gerne zur Verfügung und übernehmen das Sicherheitsupdate für Sie. Agieren Sie schnell um Hackern keine Chance zu bieten.
Nehmen Sie noch heute Kontakt über unser Kontaktformular zu uns auf – wir werden uns umgehend an die Behebung Ihres Sicherheitsproblems machen.
Unschöne Sicherheitslücke, aber man muss PrestaShop zugute halten, dass sofort die kostenfreien Updates zur Verfügung gestellt werden, um das Sicherheitsproblem zu lösen. Habe meinen PrestaShop bereits wieder sicher gemacht.
Wir sind froh, dass die Sicherheitslücke entdeckt wurde, bevor irgendwelche Schäden dadurch entstanden sind. PrestaShop hatte das Sicherheitsproblem gut im Griff. Wir haben bereits die ersten Sicherheits-Patches bei unseren Kunden eingespielt und es läuft alles problemlos. Unsere Shops sind wieder sicher!
Ich bin etwas überfordert mit dem PrestaShop Update – für nicht-techniker doch nicht so einfach – könnte mir jemand dabei helfen?
Hallo Sandra,
selbstverständlich sind wir Dir gerne dabei behilflich deinen PrestaShop wieder sicher zu machen. Bitte überprüfe dein Email Postfach – wir haben dir eine Mail geschickt mit dem Betreff „Sicherheitswarnung PrestaShop“. In dieser Mail findest du alle weiteren Informationen zum Sicherheitsupdate, unsere Kontaktdaten und was wir von dir benötigen, damit wir das Sicherheitsproblem so schnell wie möglich ausmerzen können.
Liebe Grüße
Dein EVO-CON Team
(Offizieller PrestaShop Partner)
Sehr guter Beitrag! Ich habe jetzt fast zwei Stunden online nach einer Erklärung auf Deutsch gesucht.