Contao 2.10.2 verfügbar

**contao.org** · 10.10.2011, 16:20

Contao Version 2.10.2 ist verfügbar. Das Bugfix-Release behebt eine potentielle XSS-Schwachstelle und wird daher dringend empfohlen.

Ganzen Beitrag zu 'Contao 2.10.2 verfügbar' lesen

Hier ein paar Infos/Tipps zum Update auf die 2.10.x

**x-ray** · 10.10.2011, 19:54

Danke für das neue Bugfix-Release.

Leider habe ich noch einen Kunden der mit Contao 9.5 arbeitet und hier ein Update nicht so schnell angedacht ist. Wie kann ich den Patch (http://dev.contao.org/attachments/1143/system.patch) in das System einspielen?

Hat das schon jemand erfolgreich gemacht?

***Nina*** · 10.10.2011, 20:04

Zitat von x-ray

Wie kann ich den Patch (http://dev.contao.org/attachments/1143/system.patch) in das System einspielen?

Auf der Seite siehst du zwei betroffenen Dateien und jeweils die vorherigen Teile (rot) und danach die ersetzten Teile (grün). So würde ich das zumindest interpretieren. Entsprechend müsstest du dir die angegebenen Dateien aus der älteren Installation ansehen und vergleichen. Ob das so klappt, muss aber ausprobiert werden. Vielleicht sagt einer unserer Programmierer-Spezis etwas dazu, bis zu welcher Version rückwärts man das einfach austauschen/manuell anpassen kann.

**BugBuster** · 10.10.2011, 20:47

Habe mal für 2.9.5 die Dateien angepasst.
Anwendung auf eigene Gefahr. (Backup wie immer sinnvoll)
Im ZIP sind auch die Originale noch enthalten, so kann man schnell wieder zurück zur alten Version durch umkopieren kommen.

Habe bereits eine meiner Seiten geupdatet damit, konnte bisher noch nichts negatives entdecken.

Für ältere Versionen von Contao sehe ich da keine Probleme. Lediglich die Zeilennummern wo es die Änderungen gibt könnten andere sein.

Nachtrag: Leider hatte ich eine Zeile vergessen anzupassen. Wer vor 21:04 Uhr die ZIP geladen hat, bitte die aktuelle Version laden.

**gerdi** · 11.10.2011, 11:21

Bekomme nach dem Update folgenden Fehler im Log:

Alle üblichen Maßnahmen habe ich schon durchgeführt:
[11-Oct-2011 12:01:54] PHP Fatal error: Uncaught exception 'Exception' with message 'Invalid output format xhtml' thrown in /home/www/contao/system/libraries/Controller.php on line 74

Habt Ihr eine Idee?

PHP-Code:


        $arrAllowed = trimsplit(',', $GLOBALS['TL_CONFIG']['templateFiles']);

        array_push($arrAllowed, 'html5'); // see #3398



        if (!in_array($strFormat, $arrAllowed))

        {

            throw new Exception("Invalid output format $strFormat");

        }

Meine Dateien im Template Pfad haben alle die Endung html5 bis auf die 2 Verzeichnisse, die dort noch liegen.

Bin etwas weiter durchgestiegen:

PHP-Code:


#0 /home/www/contao/system/libraries/Template.php(246): Controller->getTemplate('mod_html', 'xhtml')

#1 /home/www/contao/system/modules/frontend/FrontendTemplate.php(49): Template->parse()

#2 /home/www/contao/system/modules/frontend/Module.php(157): FrontendTemplate->parse()

#3 /home/www/contao/system/libraries/Controller.php(344): Module->generate()

#4 /home/www/contao/system/modules/frontend/PageRegular.php(100): Controller->getFrontendModule('2', 'left')

#5 /home/www/contao/index.php(200): PageRegular->generate(Object(DB_Mysql_Result))

#6 /home/www/contao/index.php(319): Index->run()

#7 {main}

***xchs*** · 11.10.2011, 11:46

Hallo gerdi,

Contao-Check ausführen
falls "config.php" nicht aktualisiert wurde, dies nachholen
"Systemwartung" durchführen

**gerdi** · 11.10.2011, 12:51

Hallo,

danke für die schnelle Antwort,

die Punkte habe ich alle schon durchgeführt.

Achja, ins backend komme ich ohne Probleme. nur ins Frontend nicht :-(

Gruß

Ich habe jetzt die Dateien im Template verzeichnis mal nach xhtml umbenannt und jetzt geht die Seite wieder

**pandroid** · 11.10.2011, 13:28

Zitat von BugBuster

Habe mal für 2.9.5 die Dateien angepasst.
Anwendung auf eigene Gefahr. (Backup wie immer sinnvoll)
Im ZIP sind auch die Originale noch enthalten, so kann man schnell wieder zurück zur alten Version durch umkopieren kommen.

Habe bereits eine meiner Seiten geupdatet damit, konnte bisher noch nichts negatives entdecken.

Für ältere Versionen von Contao sehe ich da keine Probleme. Lediglich die Zeilennummern wo es die Änderungen gibt könnten andere sein.

Hallo BugBuster,

vielen Dank für die Bereitstellung des Patches für 2.9.5
Bei meinen Installationen, die noch Version 2.9.3 benutzen, klappt es leider nicht. Folgender Fehler wird angezeigt:

Code:

Fatal error: Call to undefined method BoxesContentText::generateMargin() in /kunden/312394_99099/cms/system/libraries/Controller.php on line 2736

Hast Du eine Idee, was das sein könnte?

Danke.

**BugBuster** · 11.10.2011, 16:38

Das ist logisch, da in der 2.9.3 diese Methode noch existiert.
Habe mal für 2.9.3 die Dateien angepasst.
Anwendung auf eigene Gefahr. (Backup wie immer sinnvoll)
Im ZIP sind auch die Originale noch enthalten, so kann man schnell wieder zurück zur alten Version durch umkopieren kommen.

http://www.contao.glen-langer.de/con...xss-patch.html

Nachtrag: Leider hatte ich eine Zeile vergessen anzupassen. Wer vor 20:57 Uhr die ZIP geladen hat, bitte die aktuelle Version laden.

***Nina*** · 11.10.2011, 17:12

Wir haben soeben im Contao-Teamchat festgestellt, dass entgegen unserer bisherigen Annahme anscheinend generell die älteren Versionen gar nicht von der Schwachstelle betroffen sind! Es betrifft wohl nur die 2.10er ...

**BugBuster** · 11.10.2011, 17:37

Hmm, wenn ich mir die Stellen so anschaue die geändert (nicht erweitert) werden, dann sind die in 2.9.5 und 2.10.0 identisch.
Aja, jetzt sehe ich, dass kam mit 2.10.1 mit, der "Bug".

Nagut. Wenn ihr meint...

***leo*** · 11.10.2011, 17:38

Zitat von Nina

Wir haben soeben im Contao-Teamchat festgestellt, dass entgegen unserer bisherigen Annahme anscheinend generell die älteren Versionen gar nicht von der Schwachstelle betroffen sind! Es betrifft wohl nur die 2.10er ...

Leider stimmt das doch nicht. Es sind auch ältere Versionen betroffen, allerdings können diese nur angegriffen werden, wenn dort entweder Artikelteaser (mit Weiterlesen-Links) oder das Modul "Artikelnavigation" verwendet wird. Wenn diese Elemente nicht zum Einsatz kommen und auch keine Third-Party-Erweiterungen verwendet werden, ist das Einspielen des Patches nicht notwendig.

***Nina*** · 11.10.2011, 17:39

Danke für die Klarstellung.

**BugBuster** · 11.10.2011, 20:06

Bitte meinen Hinweis weiter oben beachten!
http://www.contao-community.de/showt...l=1#post159888

Dafür habe ich die 2.9.4 auch noch angelegt.
http://www.contao.glen-langer.de/con...xss-patch.html

**andreas.schempp** · 11.10.2011, 20:49

Zitat von leo

Es sind auch ältere Versionen betroffen, allerdings können diese nur angegriffen werden, wenn dort entweder Artikelteaser (mit Weiterlesen-Links) oder das Modul "Artikelnavigation" verwendet wird. Wenn diese Elemente nicht zum Einsatz kommen und auch keine Third-Party-Erweiterungen verwendet werden, ist das Einspielen des Patches nicht notwendig.

Dasselbe gilt auch für Contao 2.10. Allerdings gibt es einige Erweiterungen (beispielsweise Isotope eCommerce) welche anfällig sind, auch wenn die besagten Core-Module/Funktionen nicht eingesetzt werden.

PCC · 12.10.2011, 08:26

Hallo,

warum kann für die 2.9.5 so etwas nicht per Contao Live Update aktualisiert werden?

**MacKP** · 12.10.2011, 09:22

Zitat von PCC

Hallo,

warum kann für die 2.9.5 so etwas nicht per Contao Live Update aktualisiert werden?

Hm?
Kannst du etwa kein Update auf die 2.10 machen?
Wenn du das eben doch kannst: dann hast du die Möglichkeit...

Contao 2.9.5 wird nicht extra gepatched, weil es keine LTS ist!

Viele Grüße