Exim security update (CVE-2010-4345)

Aufgrund eines kritischen Fehlers (Buffer Overflow) im Mail Transfer Agent (MTA) Exim ist es möglich beliebigen Schadcode auf einem nicht gepatchten Server auszuführen. Die Patches zur Behebung der Sicherheitslücke wurden soeben auf sämtlichen Kunden-Servern installiert um unsere Infrastruktur gegen eventuelle Angriffe zu schützen.

Kunden die unsere Cloud-Server Angebote nutzen müssen sich um nichts weiter kümmern, die Sicherheitspatches wurden im Rahmen der Managed-Services bereits eingespielt.

Weiterführende Links:
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html
http://bugs.exim.org/show_bug.cgi?id=1044
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4345


Update: Magento 1.4.2.0 erschienen!

Zusammen mit dem gestern veröffentlichten Magento Release der Version 1.4.2.0 hielt eine neue Extensions Einzug in den Magento-Core. Hierbei handelt es sich u.a. um die „Such-Extension“ TheFind, die das Shopsystem mit der gleichnamigen Einkaufsplattform verbindet. In wie weit dies für Deutsche Kunden interessant ist können wir an dieser Stelle noch nicht abschätzen, daher freuen wir uns sehr über entsprechende Kommentare.

Besonders Entwickler werden sich über dieses Release freuen, da neben zahlreichen Bugfixes und der neuen Warenkorb-API ein alt bekannter SOAP-Fehler gefixt wurde: SOAP-ERROR: Parsing Schema: can’t import schema from ‘http://schemas.xmlsoap.org/soap/encoding/’ – Letzteres ist auf das aktualisierte Zend Framework der Version 1.10.8 zurückzuführen.

Ebenfalls neu ist die Möglichkeit sämtliche Vorgänge im Admin-Bereich mit einem Kommentar für den Kunden zu versehen und im Frontend anzeigen zu lassen, dies funktioniert u.a. beim Versandstatus und der Rechnungsstellung.

Entgegen vieler Gerüchte ist der neue Magento Connect Manager noch nicht im aktuellen Release enthalten, da eine solch große Veränderung eher etwas für Magento 1.5 anstatt dieses Minor-Releases ist.

Laut Release-Notes wurden diverse Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Market Ready Germany Version 1.4 in den Startlöchern

Aufgrund der mittlerweile doch sehr großen Nachfrage nach dem neuen Market Ready Germany Modul für Magento 1.4, haben wir direkt bei Symmetrics den aktuellen Stand angefragt.

Laut Boris Lokschin ist das komplette Refactoring bereits abgeschlossen, so dass derzeit nur noch einige neue Features integriert und getestet werden müssen. Diese Arbeit soll zu Beginn der nächsten Woche abgeschlossen werden, anschließend wird das Modul an Trusted-Shops und einige Beta-Tester verteilt. – Derzeit gibt es noch kein festes Release-Datum, dies soll sich in Kürze allerdings ändern…

Bzgl. des gestern erschienenen Magento German Shop Modul von TechDivision wurde uns mitgeteilt, dass dieses Modul ein Fork des alten MRG-Moduls mit den darin enthaltenen Fehlern ist: „…, mit allen alten Fehlern und Kompatibilitätsproblemen die wir nun so mühselig fixen im neuen Paket.“ Ebenfalls wird es nicht möglich sein zwischen den Modulen zu wechseln oder ein Upgrade auf das neue MRG-Modul durchzuführen, mit der Installation sollte daher auf jeden Fall gewartet werden.

Weitere Infos, auch zu den neuen Features, wurden bereits im Magento-Forum gepostet.


Update: Magento 1.3.2.3 erschienen!

Bei dem gestern veröffentlichten Magento Release mit der Version 1.3.2.3 handelt es sich um ein Bugfix Release, welches besonders für Kunden mit Paypal-Problemen interessant ist. Laut Release-Notes wurden 13 Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Update: Magento 1.3.2.2 erschienen!

Bei dem soeben veröffentlichten Magento Release mit der Version 1.3.2.2 handelt es sich in erster Linie um ein Bugfix Release, neue Features wurden nicht implementiert. Laut Release-Notes wurden ca. 30 Veränderungen vorgenommen und 85 Bugs behoben, unter anderem sollte der Google Base Export sowie die Paypal-Zahlungsbenachrichtugung nun problemlos funktionieren! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Kurz notiert: PHP 5.3 und Firefox 3.5 erschienen!

PHP 5.3 bringt bereits jetzt viele Neuerungen mit die eigentlich erst für Version 6.0 vorgesehen waren, daher gibt es auch einen offiziellen Migration Guide auf der php.net Seite. Neu sind zB Namespaces, dynamische bzw. späte Bindungen, ein Garbage Collector und eine optimierte Implementierung des MySQL-Client/Server-Protokolls. – Letzteres könnte für uns sehr interessant sein, da gerade bei großen Datenmengen sich das Laufzeitverhalten wesentlich verbessern soll.

Firefox 3.5 bringt neben der neuen Rendering-Engine „TraceMonkey“ einige neue Features mit, so lassen sich zB offene Videoformate ohne zusätzliches PlugIn abspielen. Ebenfalls neu ist der private Modus und ein verbesserter Malware- und Phishing-Schutz. – Die aktuellen Downloadzahlen können in Echtzeit eingesehen werden.

Wir empfehlen allen Kunden Ihre Website / Shop im neuen Firefox ausgiebig zu testen um eine Fehlfunktion für den Besucher auszuschließen!


Sicherheitswarnung Zen-Cart

Soeben erreichte uns folgende eMail vom Zen-Cart:

Im Adminbereich von Zen-Cart wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, Zugriff auf den Adminbereich zu bekommen, Code einzuschleusen oder andere Zugriffe auf den Server zu erhalten.
Betroffen sind alle Zen-Cart Versionen (1.3.8 und älter).
Seit 19. Juni 2009 ist ein Patch verfügbar, der diese Sicherheitslücke schließt.

Angriffe über diese Sicherheitslücke sind nur erfolgreich, wenn das admin Verzeichnis nicht umbenannt wurde.
Daher nochmals der dringende Hinweis:
Das admin Verzeichnis einer Zen-Cart Installation sollte immer umbenannt werden!
Eine Anleitung dazu gibt es hier:
http://www.zen-cart.at/zcvb/forum/vbglossar.php?do=showentry&catid=5&id=6

Auch bei umbenanntem admin Verzeichnis sollte aber der Patch unbedingt eingespielt werden.

Spielen Sie also umgehend den Patch ein, nachdem Sie das admin Verzeichnis umbenannt haben.
Download des Patches und weitere Informationen auf:
http://www.zen-cart.at/zcvb/forum/showthread.php?p=35340

Der Patch wurde in allen Zen-Cart 1.3x Versionen getestet.
Zen-Cart 1.2x wird nicht mehr supportet. Wer noch immer 1.2.x einsetzt, sollte daher spätestens jetzt auf 1.3.8 updaten!

Hier nochmals die nötigen Schritte:

1) Benennen Sie das admin Verzeichnis um!
Eine Anleitung dazu finden Sie hier:
http://www.zen-cart.at/zcvb/forum/vbglossar.php?do=showentry&catid=5&id=6

2) Spielen Sie danach den Patch ein!
Den Patch und die Anleitung dazu finden Sie hier:
http://www.zen-cart.at/zcvb/forum/showthread.php?p=35340

3) Um immer über aktuelle Sicherheitswarnungen und Updates imformiert zu sein, abonnieren Sie die Emailbenachrichtigung über neue Beiträge im Forum „News und Ankündigungen“. Hier veröffentlichen wir immer solche sicherheitsrelevanten Informationen.
Um dieses Forum zu abonnieren, clicken Sie einfach auf folgenden Link:
http://www.zen-cart.at/zcvb/forum/subscription.php?do=addsubscription&f=8


Update: Magento 1.3.2.1 erschienen!

Das soeben veröffentlichte Magento Mini-Update mit der Version 1.3.2.1 beinhaltet lediglich 2 Veränderungen:

  • Added missing sys_get_temp_dir function for PHP 5.2.0
  • Modified index.php to add support for Mage_Compiler module

Da das Compiler-Modul noch als Beta gekennzeichnet ist, sollte dieses nicht in einem Produktivshop eingesetzt werden. – Was es genau bewirkt und wie es benutzt wird werden wir in Kürze erklären!Eine ausführliche Liste der Änderungen befindet sich in den Release Notes und den dazugehörigen Diff-Files. – Wie immer sollte vor dem Update ein Backup erstellt werden!


Update: Magento 1.3.2 erschienen!

Das gestern veröffentlichte Magento Update mit der Version 1.3.2 beinhaltet 35 Verbesserungen und 167 Bugfixes. Damit sollte nun endgültig klar sein, dass Varien trotz vor kurzem erschienener Enterprise-Version die Community Edition nicht vernachlässigt. – Aufgrund der zahlreichen Bugfixes und Performanceverbesserungen sollte das Update von jedem Shopbetreiber kurzfristig eingespielt werden, dies betrifft vor allem “Problem-Shops”…

Eine ausführliche Liste der Änderungen befindet sich in den Release Notes und den dazugehörigen Diff-Files. – Wie immer sollte vor dem Update ein Backup erstellt werden!


Update: Magento 1.3.1.1 erschienen!

Bei dem heute veröffentlichten Magento Update mit der Version 1.3.1.1 handelt es sich in erster Linie um ein Sicherheits-Update für Multi-Shops. Magento User die einen Multi-Shop betreiben und / oder mehrere Domains oder Subdomains konfiguriert haben, sollten dieses Update kurzfristig einspielen um die Lücke zu schließen.

Darüber hinaus gab es vier weitere Verbesserungen:

  • Added media directive to email templates filter (e.g. {{media url=”“}})
  • Improved Online Customers page to prevent affecting frontend performance when this page is opened in the admin.
  • Fixed “Invalid Request Error Message: Input parameter signature is invalid” after redirecting to Amazon Simple Pay
  • Added Amazon payment methods titles configurable on store view scope in system configuratio

Eine ausführliche Liste der Änderungen befindet sich in den Release Notes und den dazugehörigen Diff-Files. – Wie immer sollte vor einem Update ein Backup erstellt werden!