Schwere Sicherheitslücke in Contao gefunden
// Letztes Update der Infos aus diesem Beitrag: 13.02. - ca. 13:00 Uhr //
Zu der potentiellen PHP-Object-Injection Sicherheitslücke, die wir mit den letzten Updates auf Contao 3.2.5 bzw. 2.11.14 prophylaktisch behoben haben, ist nun leider ein Exploit aufgetaucht.
Ganzen Beitrag zu 'Schwere Sicherheitslücke in Contao gefunden' lesen
Update (Donnerstag, 13.02.2014):
Da die Updates auf 3.2.5/3.2.6 und 2.11.14/2.11.15 noch nicht ausreichten um die Sicherheitslücke vollständig zu beheben, wurden die Updates 3.2.7 und 2.11.16 veröffentlicht.
Newsbeitrag zu Contao 3.2.7
Newsbeitrag zu Contao 2.11.16
Update (Mittwoch, 12.02.2014):
Da die Updates auf 3.2.5 und 2.11.14 noch nicht ausreichten um die Sicherheitslücke vollständig zu beheben, wurden die Updates 3.2.6 und 2.11.15 veröffentlicht.
Newsbeitrag zu Contao 3.2.6
Newsbeitrag zu Contao 2.11.15
Anlaufstelle für potentielle Sicherheitsprobleme
Wenn Ihr auf ein potentielles Sicherheitsproblem stoßt, könnt Ihr euch zukünftig an unsere neue Security Mailingliste wenden.
Alle Details dazu, findet Ihr in unserem Newsbeitrag:
http://c-c-a.org/aktuelles/news/deta...y-mailingliste
@Nina ist das ggf. eine separate Ankündigung wert?
Dank für Eure großartige Arbeit!
Zitat:
Zitat von
MacKP
Das muss ich jetzt mal loswerden:
Nicht auszudenken, wenn man alle Installationen auf den akutellen Major Release Stand hätte updaten müssen!
Deshalb nochmal ausdrücklich DANKE an den unvermüdlichen Einsatz der CCA für die Bereitstellung der Patchfiles für die Minor Zweige.
http://c-c-a.org/aktuelles/sicherheitshinweise
Glückwunsch übrigens zu Deiner offiziellen Mitgliedschaft, die die CCA gestern kommuniziert hat und generell Bewunderung für den idealistischen Ansatz, den Ihr verfolgt.
Gruß aus dem Schwarzwald,
Anfängerfrage wg. Versionen
Hallo (und sorry, wenn die Frage dumm sein sollte),
wegen der Updateempfehlungen komme ich bei den Versionen etwas durcheinander:
Auf All-Inkl habe ich eine Installation 2.11.3. Ist es richtig, dass ich diese nicht updaten muss, weil sie versionsmäßig über der 2.11.15 liegt? Während meine andere Contao-Version 3.1.4. auf jeden Fall upgedatet werden, stimmts?
Man unterscheidet also zwischen v. 2.x und 3.x – und alles was über 2.11.16 bzw. 3.2.7 liegt, muss jeweils nicht upgedatet werden … habe ich das richtig verstanden?
Danke im Voraus für Eure Hilfe.
Alex
Schwere Sicherheitslücke in Contao gefunden
@Alexandra:
2.11.3 ist älter als 2.11.16 -- 3 ist kleiner als 16. Du hast das wohl mit einer (nicht existenten) 3.11.1.6 verwechselt?
Noch eine (Anfänger)Frage zu den 2.11.x Versionen
Ich danke zunächst einmal allen Beteiligten für die viele und tolle Arbeit der letzten Tage!
Ich habe mehrere 2.11.er Installationen (2.11.2, 2.11.6 und 2.11.9) - bei c-c-a.org gibt es dankenswerter Weise die Sicherheitsupdates für ältere Versionen, die ich für meine 2.9.er und 2.10.er Installationen auch nutze. Bei dem Update 2.11.13 stellt sich mir die Frage, warum das angeboten wird? Denn eigentlich kann ich meiner 2.11.er Versionen doch auch gleich auf 2.11.16 updaten? Hab ich da jetzt irgend etwas nicht bedacht?
Systemnachrichten => wenig hilfreich
Vor dem Hintergrund der aktuellen Sicherheitsprobleme und den damit verbundenen Patches möchte ich doch mal loswerden,
dass es wenig zielführend -wenn nicht sogar grob fahrlässig- ist, im Backend einer 2.11er Version anzuzeigen, dass die Version 3.2.7 verfügbar ist.
Hier sollte immer die aktuellste Version des jeweiligen Zweiges geannt werden, nur so hat man eine Chance mitzubekommen, wann es sicherheitsrelevante Updates gibt.
Nicht jeder schaut täglich ins Forum...
PS. An dieser Stelle ein dickes Dankeschön an Glen Langer, mit dem von ihm zur Verfügung gestellten Deltadatei konnte ich ruckzuck auf 2.11.16 updaten... :)