Quanos SIS.one Sicherheitshinweise

Oktober 2024

Aus aktuellem Anlass weisen wir auf eine Sicherheitslücke in PHP hin, die von unseren Entwicklern als kritisch eingestuft wird.
Betroffen sind alle Installationen des ExportDynamic, welche auf Webservern (IIS oder Apache) installiert sind. 

ExportDynamic 3.15 bis 3.17

PHP hat für die aktuellen PHP Versionen neue Security Releases zur Verfügung gestellt, die diese Sicherheitslücke beheben. Wir haben die PHP Pakete für unsere Software angepasst und stellen Ihnen diese per Download auf unserer Website, siehe Buttons, zur Verfügung. Abhängig von der ExportDynamic Version, die bei Ihnen im Einsatz ist, sind die angegebenen PHP-Pakete auszutauschen:

• ExportDynamic 3.17 => Download PHP 8.3.12
• ExportDynamic 3.16/3.16.1 => Download PHP 8.2.24
• ExportDynamic 3.15 => Download PHP 8.1.30

Die ExportDynamic Versionen 3.14 und älter sind NICHT kompatibel mit den oben genannten PHP Versionen und diese können dort nicht eingesetzt werden!

Die verwendete ExportDynamic Version wird im Online Katalog über den Link "Info über" in der Fußzeile angezeigt. 

Update-Anleitung für Webserver mit IIS:

• Die bisherige php.ini in ein temp Verzeichnis für einen späteren Dateivergleich kopieren
• Backup des bestehenden PHP-Ordners erstellen, z.B. den Ordner in ein ZIP-Archiv exportieren und mit eindeutiger Bezeichnung in ein Backup-Verzeichnis verschieben
• Im IIS die Website und den Application Pool anhalten
• den bestehenden PHP-Ordner leeren
• Neues PHP-Paket entzippen und in den selben Ordner einfügen
• Optional (nur wenn jetzt ein anderes Verzeichnis für PHP genutzt wird): Im IIS unter "Handler Mapping" für *.php die neue php-cgi.exe für FastCGI eintragen 
• Mit WinMerge die die neue php.ini mit der bisherigen (die zuvor in einem Temp Verzeichnis abgelegt wurde) vergleichen
  • die Parameter prüfen und kundenspezifischen Einstellungen in die neue php.ini übernehmen (z.B. extension=ldap, https aktivieren per session.cookie_secure = 1, max_execution_time, etc. ) 
  • die Pfadangaben zum \tmp Verzeichnis, zu den Extensions und zur CACERT (alle stehen üblicherweise am Ende der von uns gelieferten php.ini) anpassen - diese sind für den Standardordner D:\CATALOGcreator vorbereitet. 
•  Alternativ kann die php.ini auch manuell mit Notepad++ geprüft und angepasst werden.  
• Im IIS Website und AppPool wiederstarten
• Mit einer test.php im public-Ordner mit Inhalt
  <?php     phpinfo();?>kann überprüft werden, ob die neue PHP-Version und die richtige php.ini verwendet wird. Diese Testdatei ist im Anschluss sofort wieder zu löschen! 
• Bei Problemen den PHP-Ordner auf die nötigen Leseberechtigungen der Gruppe IIS_IUSRS prüfen
   

Vorgehen bei ExportDynamic 3.14 und älter

Ältere PHP-Versionen, das betrifft PHP 8.0 und älter, sind vom Hersteller als End of Life eingestuft und erhalten somit keine Updates mehr!

Damit sind für die ExportDynamic Version 3.14 und älter keine PHP Pakete verfügbar. In diesem Fall muss die gesamte Installation der Quanos-Produkte in Form eines Projektupdates aktualisiert und damit auf ein aktuelles ExportDynamic upgedated werden. Hierbei handelt es sich um eine kostenpflichtige Leistung. Eröffnen Sie hierfür bitte zeitnah ein Support-Ticket über den Quanos Service Desk bzw. wenden sich an den Sie betreuenden Quanos Partner.

Wir unterstützen Sie 

Sollten Sie sich unsicher sein, welche Version bei Ihnen im Einsatz ist oder Unterstützung beim Austausch benötigen, eröffnen Sie bitte ein Support-Ticket über den Quanos Service Desk bzw. wenden sich an den Sie betreuenden Quanos Partner.