Liebe Leser,<\/p>\n
wir m\u00f6chten Sie \u00fcber eine aktuelle Sicherheitsl\u00fccke im Shopsystem JTL Shop informieren. Betroffen sind alle Versionen ab 5.0.0. Die Schwachstelle wurde gemeinsam mit dem Sansec Threat Research Team entdeckt und inzwischen analysiert und eingegrenzt. Nach aktuellem Stand gibt es keine Hinweise darauf, dass sie bereits aktiv ausgenutzt wurde. Trotzdem stehen passende Updates zur Verf\u00fcgung, die zeitnah eingespielt werden sollten.<\/p>\n
Im Rahmen laufender Sicherheitspr\u00fcfungen wurde eine Schwachstelle gefunden, die unter bestimmten Bedingungen dazu f\u00fchren kann, dass Inhalte falsch verarbeitet werden. Technisch handelt es sich um eine sogenannte Server-Side Template Injection (SSTI), die im Zusammenhang mit dem Betreff von E-Mails ausgel\u00f6st werden kann.<\/p>\n
Einfach gesagt: Wenn ein Angreifer es schafft, speziell manipulierte Inhalte einzuschleusen, k\u00f6nnte das System diese falsch interpretieren. Im schlimmsten Fall k\u00f6nnten dadurch sensible Daten wie Verschl\u00fcsselungsschl\u00fcssel oder Datenbankzug\u00e4nge ausgelesen werden. Ab Version 5.4.0 besteht zus\u00e4tzlich das Risiko einer Remote Code Execution (RCE), bei der im ung\u00fcnstigen Fall sogar fremder Code auf dem Server ausgef\u00fchrt werden k\u00f6nnte.<\/p>\n
Wichtig ist jedoch: Es gibt aktuell keine Hinweise darauf, dass diese Schwachstelle bereits aktiv ausgenutzt wurde.<\/p>\n
Die Schwachstelle wurde gemeinsam mit externen Sicherheitsexperten \u00fcberpr\u00fcft, best\u00e4tigt und klar eingegrenzt. F\u00fcr alle betroffenen Shop-5-Versionen stehen inzwischen gepr\u00fcfte Patches zur Verf\u00fcgung, mit denen sich die L\u00fccke zuverl\u00e4ssig schlie\u00dfen l\u00e4sst. Damit ist eine direkte L\u00f6sung verf\u00fcgbar, um betroffene Systeme abzusichern.<\/p>\n
Wenn Sie einen Shop auf Basis von JTL Shop betreiben, empfehlen wir Ihnen, Ihr System m\u00f6glichst zeitnah zu aktualisieren. Je nach eingesetzter Version gibt es dabei unterschiedliche Update-Pfade.<\/p>\n
Nutzen Sie bereits eine neuere Version wie 5.5.3, 5.6.1 oder 5.7.1, erfolgt die Aktualisierung \u00fcber den jeweiligen Patch auf die n\u00e4chsth\u00f6here Version. Wenn Sie noch eine \u00e4ltere Version im Einsatz haben und kein direktes Upgrade m\u00f6glich ist, muss die Schwachstelle manuell behoben werden, um den Shop abzusichern.<\/p>\n
Nach dem Update auf eine gepatchte Version sind in der Regel keine weiteren Ma\u00dfnahmen erforderlich. Wenn die Schwachstelle in einer \u00e4lteren Installation manuell behoben wurde, kann im Backend ein Hinweis auf eine ver\u00e4nderte Datei erscheinen. Dies betrifft konkret die Datei \/includes\/src\/Mail\/Renderer\/SmartyRenderer.php<\/em> und ist in diesem Fall normal. Der Hinweis verschwindet erst wieder nach einem vollst\u00e4ndigen Update auf eine entsprechend gepatchte Version.<\/p>\nSchnelle Hilfe bei Update und Absicherung<\/strong><\/h4>\n