Zuletzt aktualisiert: 22.04.2010

Datum: 04.01.2010 Gültig ab Version: 2.0.x Gültig bis Version: 3.0.4.x

Wichtig: Bei allen Wartungskunden und allen Kunden, die die Version 3.0.5 oder 3.0.5.1 einsetzen, ist dieser Patch bereits vorhanden. Falls Sie sich nicht sicher sind, ob Sie oder Ihr Partner diesen Patch bereits eingespielt haben, können Sie diesen problemlos erneut einspielen.

• Schließt eine Sicherheitslücke, die in Verbindung mit einigen PHP-Versionen und der Prüfung der eingegebenen Parameter auftreten kann.
• Fügt Überprüfungen auf gültige Mailadressen in der Passwort-Erinnerungs-Funktion hinzu.

Download security_patch.zip

• Sichern Sie die Datei engine/core/php/sHost.php und engine/core/class/viewports/s_password.php aus Ihrem Shop.
• Entpacken Sie das Zip-Archiv.
• Kopieren Sie den Ordner /engine/ aus dem Archiv per FTP in das Verzeichnis, indem Shopware installiert ist.
• Ersetzen Sie die bestehenden Dateien.

• Achten Sie darauf, dass die Software auf Ihrem Server (PHP/MySQL etc.) regelmäßig aktualisiert wird.
• Die meisten Angriffe erfolgen über veraltete Software auf dem Server.
• Seien Sie vorsichtig mit der Vergabe von "777" Datei- und Ordner-Rechten. Diese sollten ausschließlich für die Ordner "images","files","cache" und "uploads", sowie die dort vorhandenen Unterverzeichnisse vergeben werden. Eine Ausnahme bilden hier noch die beiden Unterordner "cache" und "temp" unterhalb von /engine/vendor/html2ps. Diese benötigen ebenfalls zwingend die Rechte 777.
• In keinem Fall sollten Template- und PHP-Dateien Rechte in dieser Größenordnung zugewiesen bekommen.
• Entfernen Sie regelmäßig nicht mehr benötigte Dateien und Ordner vom Server.
• Speichern Sie niemals Datenbank-Backups direkt auf dem Server.
• Verschlüsseln Sie Datenbank-Backups, die Sie sich lokal herunterladen.

• Ändern Sie in regelmäßigen Abständen Ihre FTP- und Shopware-Zugangsdaten.
• Löschen Sie alle Backend-Zugänge, die nicht regelmäßig benötigt werden (Dazu zählen auch etwaige Shopware Support-Zugänge).
• Verwenden Sie sichere Passwörter für Ihren Login ins Backend. Diese sollten aus mindestens 12 Zeichen bestehen und Zahlen- sowie Sonderzeichen enthalten.
• Geben Sie Backend-Zugangsdaten niemals an Dritte Personen heraus. Sofern wir Zugangsdaten für Supportzwecke benötigen, schicken Sie uns diese über das Support-System.

• Mindestlänge 12 Zeichen ("Mehr ist besser").
• Mischpasswörter aus Buchstaben (Klein/Groß), Zahlen und Sonderzeichen.
• Die Passwörter sollten keine Wörter oder Wortbestandteile enthalten.
• Einen Passwort-Generator finden Sie unter http://www.anonym-surfen.com/passwort-generator/.

• Informieren Sie sich regelmäßig über neue Sicherheitsupdates.
  • Diese stehen hier im Wiki und im Shopware-Account zur Verfügung.
  • Abonnieren Sie unseren Newsletter, damit Sie über neue Updates per eMail informiert werden können.
• Installieren Sie die Sicherheitsupdates, die wir zur Verfügung stellen, jeweils kurzfristig.
• Aktualisieren Sie Ihr Gesamtsystem regelmäßig auf den aktuellen Stand (z.B. über Wartungsvertrag oder Partner).
• Installieren Sie Dritt-Software, wie z.B. Blog- oder Forensysteme, nie auf dem selben Server, wo das Shopsystem installiert ist oder aber achten Sie darauf, dass Sie diese Systeme kontinuierlich auf dem aktuellen Stand halten. Je nach Verbreitung des eingesetzten Systems werden etwaige Sicherheitslücken bereits vollkommen automatisch gescannt und ausgenutzt.
• Achten Sie darauf, dass Administrationstools, wie PHPMyAdmin oder Mysqldumper, nie dauerhaft auf dem Server verbleiben oder sichern Sie diese Programme zusätzlich mit einem .htaccess Schtuz.

• Achten Sie darauf, dass alle "öffentlichen" Variablen, die Sie in Ihren Erweiterungen abfragen, ordnungsgemäß maskieren.
  • Parameter, die ausschließlich Zahlen beinhalten, sollten z.B. per intval oder floatval auf diesen Datentyp eingeschränkt werden.
  • Strings können Sie per $adodb->qstr(string) maskieren.
• Schreiben Sie SQL-Abfragen ausschließlich als "Prepared Statements".
• Sichern Sie eventuell vorhandene Upload-Routinen sorgfältig und ordnungsgemäß ab.
• Entfernen Sie nicht mehr benötigte Debug-Ausgaben.