Sicherheitsupdate JTL-Shop 4.03 und 3.20.5

Themen: JTL Themen
Sicherheitsupdate JTL-Shop 4.03 und 3.20.5

heute hat JTL-Software die Versionen 3.20.5 und 4.03 des JTL-Shop veröffentlicht. Das Update 4.03 adressiert bekannte Probleme mit JTL-Shop, darunter Mehrsprachigkeit, Billpay und PayPal.

Wichtig: Im Rahmen eines umfangreichen Security-Audits wurde eine kritische Sicherheitslücke in der Shop-Software entdeckt, die mit den Updates ebenfalls behoben werden.

Daher empfehlen wir Ihnen, möglichst zeitnah die neuen Versionen zu installieren.
Detaillierte Informationen zu den Shop-Updates und deren Installation erhalten Sie im Folgenden.

Download und Installation von JTL-Shop 3.20.5 und JTL-Shop 4.03
--------------------------------

Die beiden neuen Versionen von JTL-Shop können Sie unter folgenden Links herunterladen:

JTL-Shop 3.20.5: http://jtl-url.de/shop320download
JTL-Shop 4.03: http://jtl-url.de/shop403download

Eine Anleitung zur Installation der neuen Versionen finden Sie im JTL-Guide:
http://guide.jtl-software.de/jtl/JTL-Shop:Installation:Update

Release-Threads mit detaillierten Informationen zu beiden Versionen finden Sie im JTL-Forum:
JTL-Shop 3.20.5: http://jtl-url.de/shoprelease320b5
JTL-Shop 4.03: http://jtl-url.de/shoprelease403

Sicherheitsupdate
--------------------------------

Ein Security-Audit zeigte kritische Sicherheitslücken im JTL-Shop auf, die die Versionen 3.00 bis 3.20.4 ebenso wie 4.00 bis einschließlich 4.02 betreffen. Diese wurden mit den neuen Versionen behoben.

In diesen Shop-Versionen ist es möglich, über das Shop-Frontend unbefugten Zugriff auf das Admin-Backend zu erlangen, Shop-Dateien herunterzuladen oder JavaScript-Code über XSS im Shop auszuführen.

Dementsprechend raten wir Ihnen dringend, Ihre Shop-Version zu aktualisieren, um einen möglichen Zugriff Unbefugter auf Ihre Daten zu verhindern!

JTL-Shop 3.20.5 wird allen JTL-Shop 3-Nutzern als Sicherheitsupdate zur Verfügung gestellt - unabhängig davon, ob die Subscription bereits ausgelaufen ist. Alle Händler, die einen JTL-Shop 3 betreiben, sollten auf diese Version aktualisieren. Da innerhalb des Builds auch eine Template-Datei korrigiert wurde, stellt JTL auch ein Template-Diff zum Nachziehen der Änderungen bereit: http://developer.jtl-software.de/attachments/8774/templates_320.4-320.5.diff

Aktuell sind uns keine Fälle bekannt in denen die Sicherheitslücke aktiv ausgenutzt wurde, jedoch ist es zwingend erforderlich, das Sicherheitsupdate in jedem JTL-Shop einzuspielen.