Shopware informiert aktuell Shopbetreiber, dass das Framework Symfony, welches das technische Fundament von Shopware 6 bildet, mehrere Sicherheitswarnungen (Security Advisories) veröffentlicht hat. Da Shopware direkt auf Symfony aufbaut, sind viele bestehende Shopware 6 Installationen von diesen Sicherheitslücken betroffen.
Das Besondere diesmal: Da es sich um eine Aktualisierung von Hintergrund-Bibliotheken (sogenannten Dependencies) handelt, wird von Shopware für dieses Problem kein eigenes, neues Shopware-Versionsupdate veröffentlicht. Shopbetreiber müssen hier selbst aktiv werden, um die Sicherheitslücken zu schließen.
Was genau ist das Problem und wer ist betroffen?
Die Sicherheitslücken betreffen die Symfony-Komponenten im Hintergrund. Neue Shopware-Installationen sind automatisch geschützt, da sie direkt die neuesten Patches abrufen. Bestehende Shops müssen jedoch manuell aktualisiert werden.
Ob Ihr Shop betroffen ist, lässt sich über den Server-Befehl composer audit prüfen. Alternativ bietet das bekannte Community-Tool Frosh Tools (ab Version 3.6.0) eine komfortable Übersicht direkt in der Shopware Administration an.
Wichtiger Hinweis: Kritische Alt-Versionen
Es gibt einen wichtigen Sonderfall für ältere Shopware-Versionen, die eine bereits veraltete ("End of Life") Symfony-Version nutzen. In diesen Fällen hilft ein reines Update der Hintergrund-Komponenten nicht mehr - hier muss das gesamte Shopware-System aktualisiert werden. Betroffen sind folgende Versionen:
- Shopware 6.5: alle Versionen älter als 6.5.8.0
- Shopware 6.6: alle Versionen älter als 6.6.10.12
- Shopware 6.7: alle Versionen älter als 6.7.6.0
Befindet sich Ihr Shop in einem dieser Versionsbereiche, ist ein normales Einspielen des Sicherheits-Patches nicht möglich. Ein Shopware-Update ist hier zwingend erforderlich.
Wie wird die Sicherheitslücke geschlossen?
Wenn Ihr Shop bereits auf einer aktuellen Version läuft (oder außerhalb der oben genannten kritischen Bereiche liegt), müssen die betroffenen Symfony-Abhängigkeiten auf dem Server aktualisiert werden. Der gezielte Befehl dafür lautet:
composer update twig/twig \
composer/composer \
symfony/cache \
symfony/mailer \
symfony/mime \
symfony/monolog-bridge \
symfony/routing \
symfony/yaml \
--with-all-dependencies
Achtung bei Web-Installer-Nutzern: Der klassische Web-Installer von Shopware kann diese Hintergrund-Abhängigkeiten nicht automatisch aktualisieren. Der Befehl muss zwingend via SSH auf dem Server ausgeführt oder lokal vorbereitet und hochgeladen werden. Wir empfehlen dies wirklich nur auszuführen mit einer vorherigen Komplettsicherung sowie Erfahrungen in diesem Bereich.
Mögliche Auswirkungen & Risiken
Laut Symfony und Shopware enthalten die Patches keine "Breaking Changes" (strukturelle Änderungen). Dennoch gilt wie bei jedem Update: Jedes System ist individuell. Ein pauschales Ausführen von composer update ohne genaue Eingrenzung kann zu unerwünschten Nebeneffekten mit anderen Plugins oder Ihrem Theme führen. Updates sollten daher niemals ungeprüft direkt im Live-Shop durchgeführt werden.
Unser Service als Ihre Shopware Agentur
Sie sind sich unsicher, ob Ihr Shop betroffen ist? Oder Sie trauen sich das Einspielen der Sicherheits-Patches über die Konsole nicht zu? Keine Sorge, wir von 8works unterstützen Sie dabei.
Wir prüfen Ihre Shopware-Installation, lesen den Sicherheitsstatus aus und spielen die notwendigen Patches sicher ein - wie gewohnt mit vorherigem Backup oder in einer sicheren Testumgebung und ohne Risiko für Ihr Live-Geschäft.
