Erneute Sicherheitslücke in Contao gefunden

**Stepinsky** · 07.04.2014, 09:27

Eine Verständnisfrage:
Sobald ich die Dateiendung umbenenne, kann die Datei mangels Handler-Zuordnung nicht mehr ausgeführt werden, oder? Würde es nicht reichen, dem Dateinamen irgendwelche Zeichen voran und hintenan zu stellen?
Z.B. #!install.php+*

**MacKP** · 07.04.2014, 10:00

Hallo Stepinsky,
je nach Hoster reicht das nicht wirklich aus. Zusätzlich kann man auch noch selber definieren welche Dateien als PHP Dateien behandelt werden... Sowas sollte man also gut Prüfen, wenn man diesen Weg geht.

Viele Grüße

**BugBuster** · 07.04.2014, 11:57

vor allem wenn man so einen Webserver hat:
https://twitter.com/bahnfuehrer/stat...216640/photo/1

**dackelchen** · 07.04.2014, 12:13

Sicherheitsupdate ist raus *freu*

Heißt das jetzt "Business as usual" und ich kann mich entspannt zurücklehnen, weil unser Contao den Job macht?

https://contao.org/de/news/contao_3-2-9.html, das sind für mich der eher aus der Design und Frontenddevelopment-- als aus der Entwicklerschiene kommt, ein wenig arg wenig Infos.

**tab** · 07.04.2014, 12:17

Zitat von BugBuster

vor allem wenn man so einen Webserver hat:
https://twitter.com/bahnfuehrer/stat...216640/photo/1

Das illustriert mal wieder den Gegensatz zwischen "gut gemeint" und "gut gemacht".

**ciaobello** · 07.04.2014, 16:37

Live update wirft Fehler wenn man den Change-mode Hack verwendet hat und vergisst die Daei zu löschen oder changemod wieder zu ändern.

Vorallem toll wen der Provider mitdenkt und bei Sicherheitsproblemen solche Patches selber ausführt.
Ein weiters Plus für InetRobots (daumen hoch)!

Wer nach dem Update eine Rote Meldung kriegt mit der Mitteilung das in update.phar.php was nicht klappt, der besinne sich an changemod und der install.php!

**BugBuster** · 07.04.2014, 18:17

Daher auch die Twitter Meldung von Leo Feyer:

Vor dem #Contao-Live-Update die Datei contao/install.php wieder per CHMOD 644 aktivieren, andernfalls gibt es eine Fehlermeldung.

**rauel** · 25.04.2014, 09:04

Hallo Zusammen,

meine Webseite ist nicht mehr erreichbar. Das ist während meines Urlaubs passiert.
Es wurden auch Dateien css/Xml auf dem Server verändert.

Bei mir wurde der Pfad geändert. Weiß nicht wie ich die Änderung rückgängig machen kann.
Komme nämlich nicht mehr in mein Backend!

Bitte kann mir jemand weiterhelfen.
Bin nicht sooo super fit in Contao.

Webseite: www.weboutfit.de

Danke im Voraus!

**MacKP** · 25.04.2014, 11:15

Hallo rauel,
ist die Frage, ob das wirklich über diese Lücke geschehen ist.. das nur mal am Rande... allgemein hilft das hier weiter -> http://de.contaowiki.org/Contao_gehackt

Viele Grüße

**magicsepp** · 25.04.2014, 11:24

nachdem das Frontend noch erreichbar ist- kann da eigentlich nicht so viel zerstört sein....
als erstes Conto-check verwenden und die Installtion auf Vollständigkeit prüfen
dann die Zugangsdaten (passwörter ftp,sql etc.ändern)