Frage zu Sicherheitsupdate Cross-Site-Scripting im System-Log

Druckbare Version

24.06.2021, 13:27
jott

Frage zu Sicherheitsupdate Cross-Site-Scripting im System-Log

Zitat:

Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.

Zitat:

Workaround

Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).

Versteh ich nicht ganz. Einerseits müssen Angreifer nicht angemeldet sein, andererseits soll das deaktivieren des besagten Backend-Moduls helfen, das ja nur angemeldete Benutzer bedienen.
Und wie deaktiviert man dieses Modul (und wieso für besonders Admins - wer außer dem Admin sollte es dann je wieder aktivieren?
Leider finde ich keinen Hinweis dazu, vielleicht kann da jemand helfen?

Viele Grüße, Jott
24.06.2021, 14:44
fiedsch

Ich verstehe es so: Das Problem ist ja nicht das Vorhandensein von "bösem" Text in den Log-Tabellen, sondern dessen Anzeige und dabei Ausführung von Code im Kontext des angemeldeten Benutzers. Wenn es keiner sieht/anschaut, wird auch nichts ausgeführt.
24.06.2021, 14:50
tab

Der Angreifer kann Schadcode in die Log-Tabelle reinschreiben, der ausgeführt wird, wenn jemand im Backend die Systemlogs anschaut. Je mehr Rechte derjenige dann hat, desto mehr Schaden kann angerichtet werden. In der Rechteverwaltung kann man Benutzergruppen / Benutzern das Recht entziehen, dieses Modul zu benutzen. So habe ich es jedenfalls verstanden.
09.07.2021, 07:01
wdm

Für selbst angelegte Benutzergruppen ist das klar. Dort kann ich das System-Log deaktivieren.
Aber gerade für die Standard-Administrator Gruppe gibt es ja keine Rechteverwaltung, in der man das System-Log deaktivieren könnte.
Die haben ja automatisch alle Berechtigungen. Wo / wie entziehe ich denn dort explizit dieses Recht?
09.07.2021, 08:19
Spooky

Am besten ist du aktualisierst auf Contao 4.9.16.
09.07.2021, 08:32
wdm

Und wenn das aus Kompatibilitätsgründen nicht geht (z.B. weil das verwendete Theme nocht nicht dafür freigegeben ist)?
09.07.2021, 08:50
Spooky

Auf welcher Contao Version bist du jetzt und um welches Theme handelt es sich?
09.07.2021, 09:05
lucina

So aus dem Bauch heraus:

Code:

RewriteCond %{REQUEST_URI} \/?contao RewriteCond %{QUERY_STRING} ^.*do=log.*$ RewriteRule .* - [F]

Gesendet von iPhone mit Tapatalk
09.07.2021, 10:30
wdm

Ich nutze aktuell eine Version 4.9.13 mit PCT. Das ist die höchste Version, die z. Zt. freigegeben ist.
09.07.2021, 10:31
wdm

Zitat:

Zitat von lucina

So aus dem Bauch heraus:

Code:

RewriteCond %{REQUEST_URI} \/?contao RewriteCond %{QUERY_STRING} ^.*do=log.*$ RewriteRule .* - [F]

Gesendet von iPhone mit Tapatalk

Ich nehme an, dass betrifft einen Eintrag in der .htaccess?
09.07.2021, 10:31
Spooky

Zitat:

Zitat von wdm

Ich nutze aktuell eine Version 4.9.13 mit PCT. Das ist die höchste Version, die z. Zt. freigegeben ist.

Ich kann mir nicht vorstellen, das ein Theme nur auf gewisse Bugfix Versionen freigegeben sein kann. Du solltest auf jeden Fall aktualisieren können.
09.07.2021, 10:47
wdm

Es gibt im PCT-Forum einen extra Freigabethread dazu.
Das finde ich bei den PCT-Themes auch das größte Manko, dass Updates (insbesondere Sicherheitsupdates) nicht immer zeitnah einspielbar sind und diese sich nicht über den Contao Manager updaten lassen.
Ist aber eine andere Geschichte.
09.07.2021, 10:49
Spooky

Zitat:

Zitat von wdm

Es gibt im PCT-Forum einen extra Freigabethread dazu.
Das finde ich bei den PCT-Themes auch das größte Manko, dass Updates (insbesondere Sicherheitsupdates) nicht immer zeitnah einspielbar sind und diese sich nicht über den Contao Manager updaten lassen.
Ist aber eine andere Geschichte.

In diesem Thread steht aber, dass die Freigabe für 4.9.16 besteht.

In wie fern können Updates nicht über den Contao Manager eingespielt werden? Sollte ganz normal funktionieren.
09.07.2021, 10:59
wdm

Das kommt davon, wenn man nur den letzten Beitrg liest. Dort steht als letzte Freigabeversion die 4.9.13.
Danke für den Hinweis.
Ich meinte die Updates für das PCT-Theme. Die müssen manuell per FTP hochgeladen werden, da die sich auch nicht über den Manager installieren lassen.
09.07.2021, 11:06
Spooky

Ja, aber das hat ja nichts mit dem Contao Update zu tun.
09.07.2021, 11:09
tschero

Zitat:

Zitat von wdm

Es gibt im PCT-Forum einen extra Freigabethread dazu.
Das finde ich bei den PCT-Themes auch das größte Manko, dass Updates (insbesondere Sicherheitsupdates) nicht immer zeitnah einspielbar sind und diese sich nicht über den Contao Manager updaten lassen.
Ist aber eine andere Geschichte.

Das aktuelle EX 3 läuft mit Contao 4.9.16.

Gruß
tschero
09.07.2021, 11:09
wdm

Ja, ich weiß.
Ich schrieb das auch nur im Zusammenhang mit der PCT-Installations-/-Update Philosophie.
War vielleicht etwas mißverständlich.