Auf 2.11.6 updaten? Sicherheitslücke?

**Anguel** · 30.10.2012, 10:19

Hallo,

hatte eine Zeit lang nichts mit Contao gemacht und war noch auf 2.11.5. Jetzt wird mir aber im Backend nicht angezeigt, dass auf 2.11.6 upgedatet werden kann. Wurde die Version wieder entfernt?
Außerdem bin ich auf folgendes gestoßen - sieht aus wie eine Sicherheitslücke:
http://packetstormsecurity.org/files...o-disclose.txt
Ist dazu näheres bekannt?

Grüße
Anguel

**Anguel** · 01.11.2012, 10:17

Habe das Problem hier gemeldet:
https://github.com/contao/core/issues/4971

Es fehlt hier definitiv ein Unterforum zum Thema Sicherheit in Contao, oder habe ich etwas übersehen???

***lucina*** · 01.11.2012, 11:39

Solche Sachen werden bisher (und sicher aus guten Gründen - niemand möchte 'Full disclosures', und eventuelle ernsthafte Probleme möchte man vermutlich eher zeitnah und direkt mit dem Hauptentwickler Leo abhandeln) entweder per Mail abgehandelt und - da eher codebezogen - auf Github.

Insofern weiß ich nicht, ob ein Forenbereich zum Thema Sicherheit hier fehlt. Meine persönliche Erfahrung bei Sicherheitsproblemen rund um Contao ist dabei, dass Konfigurationsfehler wie 'mal eben alles auf 777 setzen', an anderer Stelle kompromittierte Server oder auch der Umgang mit FTP-Passwörtern eher die Ursachen sind. Von daher ...

**Anguel** · 01.11.2012, 12:12

Das sehe ich ganz anders. In der heutigen zeit spielt Sicherheit eine entscheidende Rolle, vor allem im Internet. Man schaue sich nur mal die täglichen Meldungen auf Heise Security an. Es sollte deshalb den Contao-Nutzern auch ein Bereich zur Verfügung stehen, um sicherheitsrelevante Fragen an einer Stelle zu klären und nicht irgendwo in anderen Unterforen verstreut. Man kann natürlich beide Augen zudrücken, und über Sicherheit nicht reden. Helfen tut das aber wenig, da es dann böse Überraschungen gibt, wenn die eigene Site erstmal gehackt ist. Sicherheitsfragen zu ignorieren wird auch nicht verhindern, dass es solche Seiten gibt, die auf entdeckte Schwachstellen hinweisen. Diese Seite kommt nämlich als erstes bei der Suche nach Contao 2.11.6 in Google. Wer die Sicherheitslücken ausnutzen will weiß meistens, wo er schauen muss. Der Dumme ist dann wieder der normale Website-Betreiber, der nichts von der Lücke gehört hatte... Kein CMS ist sicher. Contao hatte bisher vielleicht auch den Vorteil, dass es nicht so bekannt war, aber das ändert sich eben schnell.

**BugBuster** · 01.11.2012, 12:21

Ich sehe da nur noch keine Lücke die sich nutzen ließ.
Was hat er damit erreicht? Er sieht vollständige Pfade. Soweit ich das verstanden habe aber nur, wenn man eingeloggt ist und die Fehlermeldungen eingeschaltet hat.
Somit ist auf ordentlich eingestellte Liveseiten ein Angriff in der Art nicht möglich.

Diese Seite kommt nämlich als erstes bei der Suche nach Contao 2.11.6 in Google

Bei dir vielleicht, weil du über Google die Packet Storm Seite schon öfters besucht hast, Google legt Nutzer Profile an und steuert das Suchergebnis damit.
Bei mir kommt der Link erst an letzter Stelle der ersten Seite.

Hier sind in den vergangenen Jahren schon oft Meldungen von Nutzern gekommen ala "Contao gehakt" , meist stellte sich das als großer Irrtum raus.
Wenn ich mir vorstelle das in einem Unterforum zu sammeln..., das Schreckt dann noch mehr ab. Da sollten dann in den Betreffs der Status mit auftauchen (Invalid, Solved, ...)

Wenn externe Meldungen wie auf Packet Storm zu sehen sind, sollte man den Entwickler direkt kontaktieren, auch um Ihm falls nötig eine Möglichkeit eines Hotfixes zu geben bevor es veröffentlicht wird (Forum, Ticketsystem,...).

***lucina*** · 01.11.2012, 12:30

Ich glaube Du hast mich da falsch verstanden - es geht ganz sicher nicht darum, die Augen zuzudrücken. Ich finde es allerdings persönlich nicht hilfreich, bei einem vermuteten oder tatsächlichen Sicherheitsproblem einen offenen Forenbereich zur Verfügung zu stellen, in dem dann die Steilvorlagen versammelt sind. Dafür gibt es andere Möglichkeiten.

Und für Dich ist ja auch schon vorgestern der direkte Kontakt via Github zu Leo Feyer möglich gewesen.

Sei Dir sicher: Seiten wie die von Dir zitierte werden gelesen. Niemand nimmt Sicherheit auf die leichte Schulter. Und wenn es ein nachvollziehbares und relevantes Problem ist, dann wird das auch zügig behandelt werden.

Wie in anderen Bereichen auch, sollten Sicherheitsprobleme aus meiner Sicht heraus zunächst direkt mit den betreffenden Entwicklern abgehandelt werden. Ich finde es allerdings sinnvoll, ggf. im Wiki an Best Practices zu arbeiten und damit weitere Ressourcen zur Verfügung zu stellen, um Contao ungefährdet betreiben zu können. Magst Du Deine Erfahrungen dort teilen?

**Anguel** · 01.11.2012, 19:02

Zitat von BugBuster

Bei dir vielleicht, weil du über Google die Packet Storm Seite schon öfters besucht hast, Google legt Nutzer Profile an und steuert das Suchergebnis damit.
Bei mir kommt der Link erst an letzter Stelle der ersten Seite.

Ich nutze die Google Suche auf Englisch und nicht auf Deutsch, daher der Unterschied. Das mit den Profilen stimmt also nicht (mit Private-Mode des Browsers getestet) und ich bin auch kein Hacker, der sich nur auf solchen Seiten herumtreibt.

Hier sind in den vergangenen Jahren schon oft Meldungen von Nutzern gekommen ala "Contao gehakt"

Ok, das sehe ich ein, aber deshalb auf einen solchen Bereich zu verzichten, finde ich auch nicht ok. Nicht alle Contao-User sind dumm. Und den Eindruck zu vermitteln, dass das System sicher sei, ist genauso falsch. Vielleicht gibt es auch Leute, die mal nützliche Tipps zum Thema Sicherheit bringen können, wie z.B. das Verzeichnis "contao" zusätzlich per .htaccess zu schützen. Ich finde, dass das Thema Sicherheit hier einfach zu selten angesprochen wird.

**Anguel** · 01.11.2012, 19:22

Zitat von lucina

Und für Dich ist ja auch schon vorgestern der direkte Kontakt via Github zu Leo Feyer möglich gewesen.

Also, es war so: Da die 2.11.6 im Backend nicht zum Update angeboten wurde, obwohl sie schon länger verfügbar war, habe ich gegooglet und bin dann gleich auf die Sicherheitslücke (1. Suchergebnis) gestoßen. Da ich keine anderen Infos gefunden hatte, dachte ich mir, dass da ein Zusammenhang sein könnte und da habe ich mal im Forum nachgefragt - bin davon ausgegangen, dass es hier doch den einen oder anderen Sicherheitsexperten gibt. Ich habe gedacht, dass die Version vielleicht herausgenommen wurde, bis ein Patch kommt. Da Niemand etwas gesagt hat, habe ich dann auf Github geschrieben und auf die Sicherheitslücke hingewiesen. Ich bin selbst kein Contao-Experte und konnte nicht einschätzen, ob das Ganze gefährlich ist oder nicht so sehr.

Sei Dir sicher: Seiten wie die von Dir zitierte werden gelesen. Niemand nimmt Sicherheit auf die leichte Schulter. Und wenn es ein nachvollziehbares und relevantes Problem ist, dann wird das auch zügig behandelt werden.

Diesen Eindruck habe ich leider nicht. Wer außer vielleicht Leo, wenn er Zeit hat, liest sowas?

Ich finde es allerdings sinnvoll, ggf. im Wiki an Best Practices zu arbeiten und damit weitere Ressourcen zur Verfügung zu stellen, um Contao ungefährdet betreiben zu können. Magst Du Deine Erfahrungen dort teilen?

Wie gesagt, ich bin kein CMS-Sicherheits-Experte und auch kein wirklicher Contao-Experte. Trotzdem fände ich es schon gut, irgendwo über Sicherheit nachlesen zu können und zu diskutieren.

**BugBuster** · 01.11.2012, 19:43

Zitat von Anguel

Ich nutze die Google Suche auf Englisch und nicht auf Deutsch, daher der Unterschied. Das mit den Profilen stimmt also nicht (mit Private-Mode des Browsers getestet)

Das passiert auch nicht gleich beim ersten Mal, das dauert schon ne Weile.

Zitat von Anguel

Vielleicht gibt es auch Leute, die mal nützliche Tipps zum Thema Sicherheit bringen können, wie z.B. das Verzeichnis "contao" zusätzlich per .htaccess zu schützen.

Grundwissen würde ich sagen.
Wenn nur jeder 10. Nutzer mal im Wiki was beitragen würde, dann wäre die Info bereits da.

**Flex** · 01.11.2012, 20:34

Sehe da auch keine große Sicherheitslücke...

a) Man muss eingeloggt sein im Backend.
b) Fehlermeldungen müssen aktiviert sein.
c) Es zeigt nur den kompletten Pfad an... Das könnte bei manchen Shared Hosting Seiten eventuell zum Problem führen, weil man dann deren Benutzerbezeichnungen o. ä. in Erfahrungen bringt, aber sonst sehe ich da spontan keine großen Risiken... Bei Uberspace (mal als Beispiel) kennt jeder den Pfad zum Document Root des anderen.

**andreas.schempp** · 01.11.2012, 20:48

Bezüglich dem Hinweis "wenn Leo Zeit hat": Leo ist der einzige, der auch effektiv etwas unternehmen kann (neue Version veröffentlichen). Und das Ticketsystem ist auf jeden Fall der richtige Ort.

Ansonsten schliesse ich mich den anderen an, ich sehe das nicht als eine Sicherheitslücke.

***lucina*** · 01.11.2012, 20:51

Zitat von Anguel

Diesen Eindruck habe ich leider nicht. Wer außer vielleicht Leo, wenn er Zeit hat, liest sowas?

Da ich paranoid bin, lese ich sowas auch. Google-Alerts helfen, nebenbei bemerkt.

Zum Rest nur soviel: Hier einen Forenpost am 30.11. absetzen, ebenfalls am 30. einen Bug bei Github melden, ebenfalls am 30.11. eine Antwort vom Entwickler bekommen - was willst Du mehr? Eine Antwort, die im Übrigen exakt das beschreibt, was Du hier in diesem Thema auch an Antworten bekommen hast. Niemand sieht da eine Sicherheitslücke - außer, der Server ist nicht anständig konfiguriert.

Es gibt Firmen, bei denen Bugreports zum Thema Sicherheit erst einmal ein Quartal liegen bleiben.