Schwere Sicherheitslücke in Contao gefunden

[Flex]

Solange du nicht Nutzereingaben ungeprüft serialisierst ist das in Ordnung.

Und mit der neuesten Version wirst du durch einen Fehler darauf hingewiesen, falls du das serialisieren von Objekten probierst.

[Spooky]

Hallo,

was bedeutet die Sicherheitslücke eigentlich für eigene Erweiterungen. Bin mir da unsicher wo ich evtl. eingreifen muss. Gibt es da irgendwo Dokumente?

Habe in diesem Beitrag das hier natürlich nicht überlesen:


Ich hab die Funktion hier und da zum Auslesen von Tabellen und ich glaube auch Überschriften im Einsatz. Muss ich dies durch die unserialize() Funktion ersetzen?

1000 Dank,
juju

Wenn du keine Objekte speicherst, kannst du weiterhin deserialize() benutzen. Wenn du Objekte in der Datenbank speicherst, dann solltest du dir genau überlegen ob das überhaupt notwendig ist und nicht doch ein Array ausreicht. Wenn du tatsächlich das Objekt brauchst, kannst du deserialize() nicht mehr benutzen und musst direkt unserialize() verwenden. Dann musst du dir aber Gedanken darüber machen, ob es dadurch zu einer potentiell gefährlichen PHP Object Injection durch deine Extension kommen kann.

Alternativ kannst du auch

• json_encode( ... )
• json_decode( ..., true )

verwenden (hat angeblich auch eine bessere Performance als serialize() und unserialize()). PHP Objekte kannst du damit aber weiterhin nicht deserialisieren, zumindest nicht direkt.

[juju]

Super. Vielen Dank für die Infos. Ich verwende deserialize soweit ich mich erinnere bisher nur beim Auslesen aus der Datenbank und zur Aufbereitung des Templates. Werde meinen Code aber sicherheitshalber nochmal durch gehen.

Viele Grüße,
juju

[dackelchen]

Da ich am Wochenende festgestellt habe, dass einige Themes, die auch als sql-Download angeboten werden, noch eine Version mit Sicherheitslücke haben, möchte ich an dieser Stelle dafür plädieren, diese doch bitte upzudaten. Gerade diese Komplettpakete werden ja auch gerne von Contaoneulingen genutzt und da kann ich mir voratellen, dass die nicht immer als erstes updaten...

[Acta]

Mal ne Frage:

Gibt es den Erweiterungen, bei denn bekannt ist, dass diese mit den gepatchten Versionen nicht mehr laufen?

[tril]

Isotope afaik

[andreas.schempp]

Das stimmt so nicht ganz:

1. Die neuste Version von Isotope 2 läuft
2. In 1.4 gibt es einen belanglosen Bug, durch deaktivieren der Fehleranzeige kann der ignoriert werden
3. 0.2 etc. läuft nicht

[rost]

... nur weil es mir gerade aufgefallen ist, sollte (unter Ankündigungen) nicht die Ankündigung der jeweils aktuellsten Version jedes Zweiges gepinnt werden?
Derzeit steht die 2.11.15 ganz oben, so könnte man beim flüchtigen Lesen auf die Idee kommen, dass das die aktuellste Version sei...

[lucina]

Ja.

[k.paschen]

Hallo zusammen,

wenn der Entwickler einer Erweiterung sagt, er werde kein 3.2 kompatibles Update seiner Erweiterung rausbringen, da diese nicht auf die für die Sicherheitslücke kritische Funktion zugreift, dann ist das ziemlicher Blödsinn, da der 3.1 Core immer noch betroffen ist - oder verstehe ich da etwas falsch?

Entschuldigung für den Wurmsatz. Würde mich über Rückmeldung freuen, danke schonmal

[andreasisaak]

Ja das könnte Blödsinn sein. Kommt aber auf Extension an. Und wenn du bei Contao 3.1 bleiben musst, nimm doch unseren CCA Patch.

[tril]

Ich bin mal so frei ^^
https://c-c-a.org/aktuelles/sicherheitshinweise

[tab]

Wie sieht es in diesem Zusammenhang eigentlich mit der neuerlichen Sicherheitslücke aus, die kürzlich gefunden wurde? Gibt es da auch eine Lösung für die 3.1.x Installationen - abgesehen vom Löschen der install.php?

[MacKP]

Hallo tab,
wie ich hier (-> https://c-c-a.org/aktuelles/news/det...ontao-entdeckt ) schon geschrieben habe, werden wir dafür kein extra Patch-Files rausbringen. Der Aufwand steht einfach in keinem Verhältnis. Und die beschriebenen Methoden reichen da vollkommen aus.

Viele Grüße

[tab]

Ok, sehe ich durch die relativ einfache Methode zur Sicherung auch als unproblematisch. Bei der letzten Lücke gab es ja keine entsprechende Möglichkeit.