Am Mittwoch, den 11. August 2021, werden wir Sicherheitsupdates für Contao 4.4, 4.9 und 4.11 veröffentlichen.
Ganzen Beitrag zu 'Sicherheitsupdates am 11. August 2021' lesen
Druckbare Version
Am Mittwoch, den 11. August 2021, werden wir Sicherheitsupdates für Contao 4.4, 4.9 und 4.11 veröffentlichen.
Ganzen Beitrag zu 'Sicherheitsupdates am 11. August 2021' lesen
Hallo,
gibt es nähere Infos welche Sicherheitslücken bzw. welche Bereiche davon betroffen sind?
Links?
vielen Dank
Hallo derRenner,
die wird es (wie immer) zu gegebener Zeit geben ;-)
Das ist nur ein Service für uns alle, damit wir uns darauf vorbereiten können. Es wird also schon um ein Sciherheitsproblem gehen, was schnell behoben werden sollte.
Wenn jetzt schon diese Infos veröffentlicht werden würden, dann käme der Patch eine Woche zu spät.
Viele Grüße
Viele die Contao auf upgedatenten Servern von Neue Medien Münnich laufen haben, werden wohl eh nicht Updaten können, wenn PHP 8 genutzt wird.
Meine ich das nur oder fallen gerade mehr Lücken als sonst auf?
Meine Seite wurde gestern gehackt. Wir sind gerade allgemein unter starkem Beschuss. Da frage ich mich, ob es an dieser Lücke liegt und in der Hackerszene schon bekannt ist.
Scheinbar war es auf jeden Fall etwas dringender; ist wohl vorgezogen: 4.9.17 gibt's seit gut 2 Stunden und 4.11.6 seit ner Stunde.
wobei ich in den Changelogs keine direkten Überschneidungen erkenne. Zumindest nicht auf den ersten Blick
Die Sicherheitsupdates kommen am 11. August.
Contao wird immer mehr genutzt und analyisiert, das ist was Gutes :) Die Anzahl der Lücken wird leider fälschlicherweise immer wieder als Argument für die Sicherheit herbeigezogen. Völliger Schwachsinn.
Das ist wie jüngst bei Corona in den USA: "Testet weniger, dann haben wir weniger Fälle".
Bei PHP selbst ist ungefähr jedes 3. Release ein Sicherheitsrelease. Das ist völlig normal.
Ich sage es immer wieder: Entscheidend ist nicht, wie häufig Sicherheitslücken auftreten, sondern wie mit diesen umgegangen wird.
Contao hat
- eine responsible disclosure policy: https://github.com/contao/contao/security/policy
- öffentlich einsehbare Sicherheitshinweise (übrigens auch als RSS abonnierbar): https://contao.org/de/sicherheitshinweise.html
- Sicherheitsreleases die ausschliesslich die Sicherheitslücke schliessen, nicht mehr und nicht weniger (insofern auch die ganz normalen, regelmässigen Bugfix-Releases heute) um Side-Effects zu minimieren
- Ankündigungen von Sicherheitsreleases mit genügend Vorlaufzeit (aber auch nicht zu langer Vorlaufzeit) und ohne weitere Details, um die Angriffsfläche klein zu halten
oder anders ausgedrückt: Contao macht das eigentlich schon ziemlich gut :)
Aus diesen Gründen vermutest du also, dass Contao selber genutzt wurde als Einfallstor?
Es wäre sinniger, wenn du bei dir genauer untersuchst, wie da in den virtuelle Server eingebrochen wurde.Selbst mit einem komplett aktuellen System kann sowas immer passieren. Stichwort: Irgendein Passwort wurde 'erraten' oder sonst was. Hilft ja nicht, wenn du einfach so vermutest was das Problem war ohne es wirklich zu wissen oder?
Viele Grüße
https://community.contao.org/de/show...-nicht-oder-so
Ob es etwas mit Conao zu tun hat weiß ich nicht, der Hoster mein schon ...
Ich hatte bisher mit 5 gehackten "Servern" zu tun - nach Analyse waren es 1x FileZilla-PW-Manager (vor ~15 Jahren), 1xJoomla mit Spamversendung (vor 8 Jahren) und in den letzten vier Jahren drei mal ein Wordpress bzw. irgendwelche Erweiterungen durch die alle Seiten mit irgendwelchen JS versehen wurden.
Es betrifft wohl sämtliche auf PHP 8 laufenden Contao Installationen bei diesem Hoster, bei denen die Server upgedatet wurden oder noch werden. Ist es nicht rückwärtsgewandt und kontraproduktiv, Installationen die seit Wochen auf PHP 8 laufen, auf PHP 7 downzugraden, nur weil ... ?
Wie gesagt, das Problem hindert dich nicht daran Contao zu aktualisieren. Es hindert dich auch nicht daran die Datenbank zu aktualisieren. Die Datenbankaktualisierungen werden ja durchgeführt - Contao (bzw. Doctrine) erkennt nur nicht, dass die jeweiligen Felder schon das richtige Format haben. Dein Problem hat jedenfalls nichts mit diesem Thread hier zu tun.