Zurück zum Blog

Symfony-Sicherheitsupdate: Ist dein Shopware-Shop betroffen?

Edin Dedagic
Shopware Symfony Sicherheit Update

Hinweis: Der Inhalt dieses Beitrags entspricht weitestgehend der uns erreichten Shopware-Meldung. Wir haben sie für dich aufbereitet und um unsere Einordnung ergänzt.

Symfony hat mehrere Security Advisories veröffentlicht. Da Shopware technisch auf Symfony aufbaut, können auch Shopware-Shops betroffen sein. Wir fassen zusammen, worum es geht, wie du prüfst, ob dein Shop betroffen ist, und welche Handlungsoptionen du hast.

Worum geht es?

Die Sicherheitslücken betreffen nicht den Shopware-Core selbst, sondern mehrere Symfony-Pakete, auf denen Shopware aufbaut. Das ist ein wichtiger Unterschied: Weil Shopware diese Komponenten als externe Abhängigkeiten (Dependencies) einbindet, die separat aktualisiert werden, gibt es für diese Advisories kein eigenes Shopware-Release. Betreiber müssen daher selbst aktiv werden.

Das Symfony-Update wird in zwei Phasen ausgerollt: Eine Phase ist bereits veröffentlicht, die zweite befindet sich noch im Testing.

Wichtig zu wissen: Das Problem setzt in bestimmten Fällen die aktuellste Version des Shopware Security Plugins voraus. Wenn du dieses Plugin einsetzt, solltest du den Status deiner Installation jetzt prüfen.

Bin ich betroffen?

Neue Installationen, die nach dem letzten Symfony-Patch aufgesetzt wurden, sind in der Regel nicht betroffen — Shopware installiert standardmäßig immer die neuesten Symfony-Patch-Versionen. Ausnahmen bilden die weiter unten genannten Sonderfälle.

Ob dein Shop betroffen ist, prüfst du am schnellsten direkt auf dem Server. Der folgende Befehl gibt dir einen Überblick über den Sicherheitsstatus deiner Abhängigkeiten:

composer audit

Wenn du mit Composer-Befehlen nicht vertraut bist: Das Community-Tool Frosh Tools stellt ab Version 3.6.0 eine composer audit-Übersicht direkt in der Administration bereit. Damit siehst du den Status auch ohne Kommandozeile.

So schließt du die Lücke

Vorab: unbedingt zuerst auf einer Testumgebung durchführen und den Shop ausgiebig testen.

Grundsätzlich hast du zwei Wege:

Option 1 — Shopware-Update (empfohlen)

Aktualisiere deinen Shop auf die neueste Patch-Version deiner Minor-Version — oder gleich auf die aktuellste Shopware-6.6- bzw. 6.7-Version. Der Vorteil: Du schließt nicht nur diese Lücke, sondern erhältst zugleich weitere Bugfixes und Sicherheitsupdates.

Ob ein Update auf 6.6 oder 6.7 sinnvoller ist, hängt vom Einzelfall ab — etwa von deinen eingesetzten Plugins, Themes und individuellen Anpassungen. Diese Entscheidung sollte bewusst getroffen werden; gerne beraten wir dich dazu.

Option 2 — Symfony-Dependencies manuell aktualisieren

Wenn ein vollständiges Shopware-Update aktuell nicht in Frage kommt, kannst du gezielt nur die betroffenen Symfony-Pakete aktualisieren:

composer update twig/twig composer/composer symfony/cache symfony/mailer symfony/mime symfony/monolog-bridge symfony/routing symfony/yaml --with-all-dependencies

Dieser Befehl aktualisiert ausschließlich die relevanten Abhängigkeiten. Alternativ kannst du composer update ohne weitere Angaben ausführen — das aktualisiert allerdings sämtliche Dependencies von Shopware und allen Plugins und kann je nach Setup zu Breaks und Seiteneffekten führen.

Wichtig: Wenn du bereits auf der neuesten Patch-Version deiner Minor-Version bist, musst du das Dependency-Update manuell durchführen — ein Shopware-Update allein reicht dann nicht aus.

Achtung: Die aktuellste Version ist keine Garantie

Auch wenn du bereits auf der neuesten Shopware-Version bist, ist damit nicht automatisch garantiert, dass das Problem erledigt ist. Der Grund: Die betroffenen Bauteile sind externe Pakete, auf denen Shopware aufbaut, die aber separat aktualisiert werden. Prüfe daher in jedem Fall mit composer audit, ob deine Dependencies tatsächlich auf dem aktuellen Stand sind.

Sonderfall: Ältere Versionen mit End-of-Life-Symfony

Für bestimmte ältere Shopware-Versionen gilt eine wichtige Ausnahme: Sie verwenden eine Symfony-Version, die bereits „End of Life” ist. Hier hilft der manuelle Composer-Befehl nicht weiter — diese Shops müssen zwingend die Shopware-Version aktualisieren. Betroffen sind je Minor-Version:

  • 6.5 unter 6.5.8.0
  • 6.6 unter 6.6.10.12
  • 6.7 unter 6.7.6.0

Läuft dein Shop auf einer Version innerhalb dieser Bereiche, bringt dich das Composer-Update nicht auf ein unterstütztes Symfony-Patch-Level. Dann ist ein Shopware-Update unumgänglich.

Hinweis für Web-Installer-Nutzer

Der Web Installer kann keine Composer-Dependencies aktualisieren. Um deinen Shop zu aktualisieren, muss der Befehl daher direkt auf dem Server ausgeführt werden — oder lokal, wobei die geänderten Dependencies anschließend auf den Host hochgeladen werden.

Unsere Empfehlung

Das Symfony-Update enthält grundsätzlich keine Breaking Changes. Dennoch birgt bei der Vielzahl unterschiedlicher Setups in der Praxis jedes Update das Potenzial für unerwünschte Seiteneffekte. Behandle den Prozess daher mit der üblichen Sorgfalt — insbesondere solltest du sicherstellen, dass du Änderungen jederzeit zurückrollen kannst (Backup, Test im Staging, Deployment mit Rollback-Option).

Du bist unsicher, ob dein Shop betroffen ist, oder möchtest das Update nicht selbst durchführen? Sprich uns an — wir prüfen deinen Shop, empfehlen den passenden Weg (Patch, 6.6 oder 6.7) und übernehmen das Update sicher für dich. Für unsere Kunden mit dem UPDATE-Paket sind solche Updates in der monatlichen Pauschale enthalten.

Fragen zu Ihrem Shopware-Shop?

Buchen Sie ein kostenloses Erstgespräch — 30 Minuten, online, unverbindlich. Wir sprechen über Ihren Shop, Ihre Ziele und planbare Festpreise.

Weitere Beiträge