28-11-2014: potentielle Sicherheitslücke in Versionen vor 3.2.16, 3.3.7

[lucina]

Vor ungefähr einer Woche wurde von einem User über die interne Security-Mailingliste eine eventuelle Sicherheitslücke gemeldet. Leo Feyer und sein Team haben sich dieser Sache sofort angenommen und den Sachverhalt geprüft. Bei ihrer Prüfung mussten sie das Sicherheitsproblem leider bestätigen. Umgehend hat sich das Team um eine Lösung bemüht. Hierbei wurde ein weiteres Problem aufgedeckt und ebenfalls sofort behoben.

Wer ist betroffen?

Grundsätzlich sind alle 2.x, 3.x und 4.x Versionen mit Ausnahme der Versionen 3.2.16, 3.3.7 und 3.4.0 betroffen. Erweiterungen sind nicht direkt betroffen, wenn diese zur Verarbeitung von Nutzerdaten (aus Formularen o.ä.) auf die Contao Funktionen zurückgreifen. Erweiterungen, die an den Contao Funktionen vorbei arbeiten, müssen ggfs. geprüft werden.

Was lässt sich angreifen?

Angreifen lässt sich prinzipiell jede Installation. Besonders angreifbar sind Websites mit Eingabemasken. Unsere Empfehlung: Fixt zuerst Installationen, die über eine Suche oder ein Kontaktformular verfügen und danach den Rest.
Unter Contao 3.x/4.x lassen sich die Contao Benutzer und Website Besucher mit XSS Attacken angreifen.

Contao 2.x lässt sich nicht mit XSS angreifen, ein Update ist trotzdem empfohlen.

Die Contao 2.x/3.x/4.x Installation selbst (auf PHP oder Datenbankebene Ebene) und der Server ist NICHT angreifbar.

Mehr Informationen

Weitere Informationen findest Du auf der Seite der Contao-Community-Alliance. Dort gibt es auch Patches für die meisten Versionen.

Aktualisiert Eure Contao-Installation umgehend!

[cont77]

Hallo,

und vielen vielen Dank für den Hinweis!

Wie kann ich denn herausfinden, welche Core-Dateien unbedingt geupdated werden müssen, um die Sicherheitslücke zu schließen?

Für mich stellt sich bei Updates immer die Frage, welche Änderungen an den Templates sicherheitsrelevant sind und welche nicht!?

Wenn ich bei diversen Seiten via Live-Update ein Update mache, erscheinen teilweise an zig Dateien Änderungen.
Es lässt sich aber nicht nachvollziehen, welche Änderungen man übernehmen sollte/muss und welche man getrost ignorieren kann.
Wie handhabt Ihr grundsätzlich diese Frage/Problematik bei Updates?

Danke & Grüße

[MacKP]

Du wirst nicht nur einzelne Dateien updaten können bei einem live-update. Das wird dann nicht funktionieren (die Möglichkeit hast du ja auch nicht)!
Die CCA hat Patches bereit gestellt. Aber auch nur für die jeweils letzte Version (z.B. 2.11.17 d.h. erst mal auf 2.11.17 updaten mindestens).
Da sind dann auch nur die wichtigen Dateien drinn und nicht mehr.

Viele Grüße

Edit: Grundsätzlich zu Updates: such mal hier im Forum, ich mein da gibts schon genug Diskusionen ;-)