Contao 3.2.5 verfügbar

**contao.org** · 03.02.2014, 10:40

Contao Version 3.2.5 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).

Ganzen Beitrag zu 'Contao 3.2.5 verfügbar' lesen

**betatester** · 03.02.2014, 14:29

Wie kritisch ist die Lücke zu bewerten? Alle Angriffszenarien hören sich derzeit noch recht theoretisch an.

**BugBuster** · 03.02.2014, 18:57

Das Update behebt übrigens nicht nur den Security Bug.
https://contao.org/de/changelog/versions/3.2.html

***lucina*** · 06.02.2014, 09:14

Nochmal zur Klarstellung:

Ich habe gestern versucht, in mehreren Szenarien nachzustellen, ob sich die Lücke ausnutzen lässt. Antwort: ja.

Die Änderungen im Quellcode gegenüber der Vorversion sind eigentlich auch schon Hinweis genug, um zu erkennen, wo das Problem liegt. Da diese Änderungen im Tracker dokumentiert sind wird jemand mit halbwegs soliden Kenntnissen dieses Szenario auch ausnutzen können.

Die Änderungen betreffen mehrere Stellen in mehreren Coremodulen, so dass potentiell jede Contao-Installation vor den Patches betroffen sein kann.

Ich rate daher dringend dazu, zeitnah die aktualisierte Version einzuspielen.

**andreasisaak** · 06.02.2014, 12:56

Leute beruhigt euch mal wieder. Dieser Bug ist gar nicht sooo praktisch wie ihr euch das jetzt weismacht. Da haben nun schon etliche Devs drüber geschaut und kein praktisches Anwenderszenario entdeckt wie man den wirklich ausnutzen kann.

So schnell kann man sich irren

Obwohl wir mit mehreren Leuten erfolglos versucht haben die Sicherheitslücke nachzustellen, wurde jetzt ein Szenario bekannt in der man die localconfig.php über ein Formular leeren kann. Entschuldigt, aber ich muss meine These wieder zurücknehmen. Sofern ihr Formulare verwendet, aktualisiert auf die neueste Contao Version. 2.11.14 oder 3.2.5!!!

**RockSolid Themes** · 09.02.2014, 20:33

Zitat von andreasisaak

Leute beruhigt euch mal wieder. Dieser Bug ist gar nicht sooo praktisch wie ihr euch das jetzt weismacht. Da haben nun schon etliche Devs drüber geschaut und kein praktisches Anwenderszenario entdeckt wie man den wirklich ausnutzen kann.

Die Sicherheitslücke kann verwendet werden um die localconfig.php zu überschreiben. Somit kann auch jeder beliebige PHP-Code ausgeführt werden.

Ein Update auf Contao 3.2.5 ist also dringend zu empfehlen.

**andreasisaak** · 09.02.2014, 20:48

Ja das stimmt. Ich habe meine Vermutung zurückgenommen. Ich lag falsch. Ein Update kann nicht schaden!
Sorry an alle.

**andreasisaak** · 09.02.2014, 20:55

Zitat von RockSolid Themes

Die Sicherheitslücke kann verwendet werden um die localconfig.php zu überschreiben. Somit kann auch jeder beliebige PHP-Code ausgeführt werden.

Ein Update auf Contao 3.2.5 ist also dringend zu empfehlen.

Oder auf Contao 2.11.14!

**xtra** · 10.02.2014, 11:48

Zitat von betatester

Bzw. bitte ich um eine Diskussion ob das hier vorgestellte https://github.com/contao/core/commi...33c22a3858R300 ein angemesser Fix ist.

Da braucht es keine Diskussion, der Fix ist nicht angemessen und ist auch nicht der finale.
Der von dir verlinkte Fix ist unsicher!

***lucina*** · 10.02.2014, 12:10

Ich bitte darum, diese Diskussion hier nicht detailliert zu führen, insbesondere keine Codeschnipsel und vermeintliche Fixes zu posten. Zum gegenwärtigen Zeitpunkt schauen sich das alle relevanten Leute intensiv an, und ich persönlich rechne mit einem zeitnahen Hotfix.

Danke schon jetzt dafür, dass Ihr nicht Leute auf dumme Gedanken bringt.

***Nina*** · 10.02.2014, 12:58

Ich habe den Thread gerade aufgeräumt (u.a. Frage wegen deprecated mysql ins allgemeine Update-Forum ausgelagert). Bitte versteht das nicht als Zensur oder so. Mein Ansinnen ist, dass dieser wichtige Thread möglichst klar und übersichtlich bleibt, damit die Leute hier schnell die wichtigsten Infos zum Sicherheitsupdate finden und sich nicht erst durch Diskussionen wühlen müssen.

Die Zwischenposts sind alle nicht endgültig gelöscht, sondern nur vorübergehend ausgeblendet und können von mir ggf. in einigen Tagen wieder eingeblendet werden.

Sollten weitere wichtige Infos bekannt werden (Hotfixes, etc.) werden wir diese Info natürlich auch wieder hier im Forum veröffentlichen!

***Nina*** · 10.02.2014, 15:26

Siehe dieser aktuelle Hinweis auf die entdeckte Sicherheitslücke. Ich mach diesen Thread hier nun zu, damit sich alle wichtigen Hinweise in einem Thread (dem neuen) vereinen.