Contao 2.11.2 verfügbar

[contao.org]

Contao Version 2.11.2 ist verfügbar. Das Bugfix-Release behebt zwei Sicherheits-Schwachstellen, von denen eine als ernst einzustufen ist.


Ganzen Beitrag zu 'Contao 2.11.2 verfügbar' lesen

[halmsen]

Zu folgendem Satz

"Das Problem betrifft alle Contao-Installationen vor Version 2.11.2."

habe ich als "Laienspieler" die Frage, ob auch Installationen der Versionen 2.9.. und 2.10..betroffen sind. Ist mir nicht klar.

[xchs]

Es sind alle Versionen < 2.11.2 betroffen, also auch die von Dir genannten Versionen. Wobei man "betroffen" auch entsprechend einschränken müsste...

[aportmann]

da die sicherheitslücke kritisch ist, ist auch ein patch für 2.10.x angedacht? klar, long term-support gibts erst ab 2.11, aber trotzdem

gruss andi

[andreasisaak]

diese sicherheitslücke betrifft nur extrem seltene installationen! auf die meisten trifft dieser bug einfach nicht zu...

[markocupic]

@andreasisaak
Das sehe ich gar nicht so.



In Zeile 101 von contao/popup.php das hier einfügen, dann ist contao auch in älteren Versionen diesbezüglich wieder sicher:


/******* das hier ist der patch ****************/
if (!$this->User->hasAccess($this->strFile, 'filemounts'))
{
die('Permission denied');
}
/****** Ende patch ****************/


// Open download dialogue
if ($this->Input->get('download') && $this->strFile)
{
$objFile = new File($this->strFile);

header('Content-Type: ' . $objFile->mime);
header('Content-Transfer-Encoding: binary');
header('Content-Disposition: attachment; filename="' . $objFile->basename . '"');
header('Content-Length: ' . $objFile->filesize);
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
header('Expires: 0');

$resFile = fopen(TL_ROOT . '/' . $this->strFile, 'rb');
fpassthru($resFile);
fclose($resFile);

$this->redirect(str_replace('&download=1', '', $this->Environment->request));
}

[halmsen]

Es sind alle Versionen < 2.11.2 betroffen, also auch die von Dir genannten Versionen. Wobei man "betroffen" auch entsprechend einschränken müsste...

Danke xchs!

Ok, dann werde ich die sicherheitsrelevanten Änderungen in meine 2.9.er und 2.10er-Insatallationen wohl einfügen müssen.

Frage 1:
Reicht es aus "Sicherheitsgründen" aus, nur die für die contao/popup.php vorgesehenen Änderungen/Ergänzungen vorzunehmen oder müssen auch die anderen Dateien ergänzt werden, die unter dem im Eingangsposting angegebenen Link aufgeführt sind? Da sind ja einige Dateien aufgeführt. Ich werkele nicht so gerne in vielen Dateien herum. Zu schnell passiert ein Fehler.

Frage 2:
Wo es z.B. in der contao/popup.php um Änderungen bzw. Ergänzungen geht, steht am Anfang der Zeile jeweils ein + und/oder ein -. Diese Zeilen sind zusätzlich farbig hinterlegt. + heißt also: Zeile an dieser Stelle hinzufügen. Und - heißt: Zeile rausnehmen. Habe ich das so richtig verstanden?

Ich hoffe, dass meine Fragen nicht zu "dumm" sind, aber ich frage lieber vorher, als nachher Fehler zu korrigieren.

[andreasisaak]

der bug in der popup.php ist nicht der bug aufgrund dessen contao 2.11.2 veröffentlicht wurde

[halmsen]

@andreasisaak
Das sehe ich gar nicht so.



In Zeile 101 von contao/popup.php das hier einfügen, dann ist contao auch in älteren Versionen diesbezüglich wieder sicher:


/******* das hier ist der patch ****************/
if (!$this->User->hasAccess($this->strFile, 'filemounts'))
{
die('Permission denied');
}
/****** Ende patch ****************/


// Open download dialogue
if ($this->Input->get('download') && $this->strFile)
{
$objFile = new File($this->strFile);

header('Content-Type: ' . $objFile->mime);
header('Content-Transfer-Encoding: binary');
header('Content-Disposition: attachment; filename="' . $objFile->basename . '"');
header('Content-Length: ' . $objFile->filesize);
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
header('Expires: 0');

$resFile = fopen(TL_ROOT . '/' . $this->strFile, 'rb');
fpassthru($resFile);
fclose($resFile);

$this->redirect(str_replace('&download=1', '', $this->Environment->request));
}

Wäre prima, wenn damit der "Sicherheitsjob" erledigt wäre. Ist das wirklich so, denn unter https://github.com/contao/core/commi...bf03aa4#diff-1 sind andere Änderungen in der popup.php aufgeführt?

Bei zwei meiner Installationen ist der Sicherheitsaspekt evtl. gar nicht so von Bedeutung (Private Homepages mit wenig Besuchern).

Anders könnte es sein für diese Installation unter http://www.brh-euskirchen.de. Je nach Relevanz der Änderungen komme ich hier nicht an der Anpassung vorbei. Oder was meinen die Experten?

Ein Hobbybastler bedankt sich für verständnisvolle Antworten.

[andreasisaak]

Vielleicht irre ich mich ja auch aber ich glaube es ist dieser Bug:

https://github.com/contao/core/commi...35b8b01630f1fe

[halmsen]

der bug in der popup.php ist nicht der bug aufgrund dessen contao 2.11.2 veröffentlicht wurde

Ok, das sehe ich jetzt klarer. Vielleicht gibt es noch eine Antwort auf meine anderen Fragen. DANKE!

[xchs]

Um es hier vielleicht auch nochmals klarzustellen: "Betroffen" (wenn man es denn so bezeichnen möchte) wäre man eigentlich nur dann, wenn man im Backend

• das <script>-Element in der "Liste der erlaubten HTML-Tags" freigeschalten hat (was standardmäßig aber nicht der Fall ist) und Benutzer (Administratoren / Redakteure) Zugriff auf das Backend-Modul "Rückgängig" haben,
• Benutzer mit eingeschränkten Rechten (aka "Redakteure") hat, welche eine dermaßen kriminelle Energie aufbringen, um Zugriff auf geschützte Dateien zu erlangen

Ich kann nur für mich und meine Redakteure sprechen: Aber ich bin davon ganz sicher nicht betroffen, da weder der erste noch der zweite Punkt zutrifft.

[markocupic]

In diesem Tread habe ich die Sicherheitslücke erläutert:
https://www.contao-community.de/show...-ich-da-falsch

Gruss Marko

[markocupic]

@halmsen

Der gelbe Code reicht, um das Sicherheits-Problem in der Dateiverwaltung zu lösen.

Gruss Marko

[andreasisaak]

Aber egal welcher es auch ist, keiner der Fehler ist soooo gravierend das total unbekannte Menschen Zugriff zur Contao Installation erlangen könnten. Ich mag das Problem nicht kleinreden aber es muss nur deswegen niemand seine Contao Installationen patchen, außer er hat er schon grade eine 2.11.x Installation in Verwendung. Dann ist das Update ja nicht so weit weg.

[halmsen]

Vielen Dank an alle!!!

Nicht verzagen, Forum fragen!

Gruß
Alex

[FloB]

Aber egal welcher es auch ist, keiner der Fehler ist soooo gravierend das total unbekannte Menschen Zugriff zur Contao Installation erlangen könnten. Ich mag das Problem nicht kleinreden aber es muss nur deswegen niemand seine Contao Installationen patchen, außer er hat er schon grade eine 2.11.x Installation in Verwendung. Dann ist das Update ja nicht so weit weg.

Genau. Ich hab die meisten Installs sowieso nur mit meinem Co-Admin, solche, bei denen noch Redakteure registriert sind, sind die Zugriffsrechte nur aus Übersichtlichkeitsgründen eingeschränkt. Der Kunde ist ja selber blöd, wenn er irgendwo rumpfuscht, und sich dadurch die Seite selber zerhackt …

[markocupic]

@floB
Es geht mir nicht darum, dass ein Redakteur die eigene Seite zerhacken kann.

Ich habe Contao bei einem Kletter-Leistungskader im Einsatz. Alle Athleten haben Zugriff ins Backend und auch Zugriff in die Dateiverwaltung. Mit verschiedenen Formularen (v.a. Excel-Sheets) dokumentieren sie ihren aktuellen Leistungsstand. Gewisse Formulare sind aus Datenschutzgründen nur für Trainer bestimmt.
Zudem sollten Athleten nicht auf die Blätter anderer Athleten Zugriff bekommen. Da stehen z.T. ganz persönliche Daten drin, die nicht für andere Athleten bestimmt sind.

Aber genau das war möglich.... Deshalb ist für mich der patch schon sehr wichtig!

Nun was solls...? Der Fehler ist ja jetzt behoben und die Diskussion nun hoffentlich obsolet.

Liebe Grüsse

Marko

[FloB]

Für dich ist dann dieses Update kritisch, aber ich denke mal, dass es für die allermeisten nicht so ist ;-).