Contao Version 3.2.5 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).
Ganzen Beitrag zu 'Contao 3.2.5 verfügbar' lesen
Contao Version 3.2.5 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).
Ganzen Beitrag zu 'Contao 3.2.5 verfügbar' lesen
Wie kritisch ist die Lücke zu bewerten? Alle Angriffszenarien hören sich derzeit noch recht theoretisch an.
Das Update behebt übrigens nicht nur den Security Bug.
https://contao.org/de/changelog/versions/3.2.html
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Nochmal zur Klarstellung:
Ich habe gestern versucht, in mehreren Szenarien nachzustellen, ob sich die Lücke ausnutzen lässt. Antwort: ja.
Die Änderungen im Quellcode gegenüber der Vorversion sind eigentlich auch schon Hinweis genug, um zu erkennen, wo das Problem liegt. Da diese Änderungen im Tracker dokumentiert sind wird jemand mit halbwegs soliden Kenntnissen dieses Szenario auch ausnutzen können.
Die Änderungen betreffen mehrere Stellen in mehreren Coremodulen, so dass potentiell jede Contao-Installation vor den Patches betroffen sein kann.
Ich rate daher dringend dazu, zeitnah die aktualisierte Version einzuspielen.
Geändert von lucina (06.02.2014 um 09:17 Uhr)
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Leute beruhigt euch mal wieder. Dieser Bug ist gar nicht sooo praktisch wie ihr euch das jetzt weismacht. Da haben nun schon etliche Devs drüber geschaut und kein praktisches Anwenderszenario entdeckt wie man den wirklich ausnutzen kann.
So schnell kann man sich irren Obwohl wir mit mehreren Leuten erfolglos versucht haben die Sicherheitslücke nachzustellen, wurde jetzt ein Szenario bekannt in der man die localconfig.php über ein Formular leeren kann. Entschuldigt, aber ich muss meine These wieder zurücknehmen. Sofern ihr Formulare verwendet, aktualisiert auf die neueste Contao Version. 2.11.14 oder 3.2.5!!!
Geändert von andreasisaak (09.02.2014 um 20:48 Uhr)
RockSolid Contao Themes & Templates / Contao Partner
Ja das stimmt. Ich habe meine Vermutung zurückgenommen. Ich lag falsch. Ein Update kann nicht schaden!
Sorry an alle.
Bedenke stets: Wenn Du ungenaue oder unzureichende Angaben machst, so koennte dies die Bearbeitung deiner Frage endlos verzoegern (oder sogar dazu fyhren, dass ich zu viel nachdenken muss und die Antwort vergesse!). Kein Support per PN.
Ich bitte darum, diese Diskussion hier nicht detailliert zu führen, insbesondere keine Codeschnipsel und vermeintliche Fixes zu posten. Zum gegenwärtigen Zeitpunkt schauen sich das alle relevanten Leute intensiv an, und ich persönlich rechne mit einem zeitnahen Hotfix.
Danke schon jetzt dafür, dass Ihr nicht Leute auf dumme Gedanken bringt.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Ich habe den Thread gerade aufgeräumt (u.a. Frage wegen deprecated mysql ins allgemeine Update-Forum ausgelagert). Bitte versteht das nicht als Zensur oder so. Mein Ansinnen ist, dass dieser wichtige Thread möglichst klar und übersichtlich bleibt, damit die Leute hier schnell die wichtigsten Infos zum Sicherheitsupdate finden und sich nicht erst durch Diskussionen wühlen müssen.
Die Zwischenposts sind alle nicht endgültig gelöscht, sondern nur vorübergehend ausgeblendet und können von mir ggf. in einigen Tagen wieder eingeblendet werden.
Sollten weitere wichtige Infos bekannt werden (Hotfixes, etc.) werden wir diese Info natürlich auch wieder hier im Forum veröffentlichen!
Siehe dieser aktuelle Hinweis auf die entdeckte Sicherheitslücke. Ich mach diesen Thread hier nun zu, damit sich alle wichtigen Hinweise in einem Thread (dem neuen) vereinen.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Lesezeichen