PAYONE Sicherheitsupdate


Übersicht

Dieser Artikel beschreibt das wichtige Update des PAYONE-Plugins für Versionen kleiner 2.3.2, die durch eine Lücke bestimmte Zahlungsinformationen auslesbar machen. Das Fremdplugin der Firma PAYONE wird im Standard von Shopware mit ausgeliefert, ist aber nicht, wie in einigen Presseberichten falsch berichtet, vorinstalliert! Sofern Sie das Plugin noch nie benutzt haben, so sind Sie von dieser Sicherheitslücke nicht betroffen.

Bin ich betroffen?

Betroffen sind ausschließlich Shopware-Installationen, die das Plugin "PAYONE Payment-Plugin für Shopware" installiert und aktiviert haben oder das Plugin in der Vergangenheit produktiv eingesetzt haben. Wenn Sie Version 2.3.2 des Plugins verwenden, sind Sie nicht mehr betroffen. Die Shopware Standard-Installation ist nicht betroffen.

Wie äußert sich die Lücke?

Bei betroffenen Installationen schreibt das PAYONE-Plugin ein Logfile für über PAYONE abgewickelte Transaktionen. In diesem Logfile sind unter anderem Vor- und Nachname, Telefonnummer, Adresse und E-Mail des Kunden ersichtlich. Dieses Logfile kann von Angreifern ausgelesen werden. Aus diesem Grund ist zwingend ein Update des Plugins durchzuführen.

Hotfix

Um den Zugriff auf das Logfile von außen zu verhindern, kann folgendes Snippet in die .htacces-Datei der Shopware Installation übernommen werden (bei Apache-Webservern):

 
<Files ~ "\.(tpl|yml|ini|log|log\.[0-9]*|log\.[0-9]*\.(gz|bz)|log\.(gz|bz))$"> 
# Deny all requests from Apache 2.4+.
    <IfModule mod_authz_core.c>
          Require all denied
    </IfModule>
 
    # Deny all requests from Apache 2.0-2.2.
    <IfModule !mod_authz_core.c>
        Deny from all
    </IfModule>
</Files>
 
 

Sollten Sie als Nginx als Webserver verwenden, wird die .htaccess nicht verarbeitet. In diesem Fall können Sie folgende Einstellung in Ihrer jeweiligen Konfigurationsdatei hinterlegen:

 
location ~ \.(tpl|yml|ini|log|log\.[0-9]*|log\.[0-9]*\.(gz|bz)|log\.(gz|bz))$ {
    deny all;
} 
 
 

Dieses Snippet unterbindet, dass das Logfile von außen gelesen werden kann.

Bitte löschen Sie auch alle im Stammverzeichnis Ihrer Webanwendung existierenden Daten, die auf ".log" enden. (wenn vorhanden)

Achtung: Dieser Hotfix verhindert lediglich den Zugriff von außen; um zu verhindern, dass das Zahlungsplugin weiterhin diese Informationen schreibt, muss zwingend ein Update durchgeführt werden!

Update

Wird Ihnen über den PluginManager die Version 2.3.3 des Plugins zum Update angeboten, können Sie das Update dort durchführen. Unter Umständen wird das Plugin nicht zum Update angeboten. Betroffene Kunden können das Update wie folgt installieren:

  • Download des Plugins über diese Url
  • Extrahieren Sie das Zip-Archiv in ein lokales Verzeichnis
  • Verbinden Sie sich mit dem FTP-Server Ihrer Shopware-Installation
  • Navigieren Sie in das Verzeichnis engine/Shopware/Plugins/Default/Core/Frontend/MoptPaymentPayone und ersetzen Sie den Inhalt dieses Verzeichnisses durch den Inhalt des Verzeichnisses Frontend/MoptPaymentPayone/
  • Öffnen Sie den PluginManager im Backend und aktualisieren Sie dort das Plugin (siehe Bild)

Kontakt

Der PAYONE Kundendienst steht Ihnen für alle Fragen unter den folgenden Kontaktdaten zur Verfügung:

  • Fon: +49 431 25968-500
  • Mail: tech.support@payone.de

Weitere interessante Artikel:

Lagerbestands- und Lieferzeitanzeige

Einleitung Auf der Detailseite eines Artikels wird ein Text zur Lieferzeit angezeigt. Dieser kommt in drei verschiedenen Versionen vor: * '''Grün''' für Artikel mit Lagerbestand > 0 * '''Gelb''' für Artikel mit Erscheinungsdatum oder...

weiterlesen

Wie generiere ich SEO-URLs bei Bedarf?

Wie generiere ich SEO-URLs ohne auf den Cron-Job warten zu müssen? Ab Shopware 4.1.0 kannst Du die SEO-URLs über das Performance-Modul generieren lassen. Wechsel im Perfomance-Modul unter dem Reiter '''Einstellungen (1)''' in den Menüpunkt...

weiterlesen

AGPL / FAQ

Für welche Ausgabe von Shopware gilt die geänderte Lizenz die in dieser FAQ beschrieben wird? Die Änderung der Lizenz zu Affero General Public License Version 3, (AGPLv3) betrifft nur die Community Edition (CE) ab Shopware 4.0. Shopware...

weiterlesen
€ 2,00

Preise inkl. gesetzlicher
MwSt. + Versandkosten*