Vor ungefähr einer Woche wurde von einem User über die interne Security-Mailingliste eine eventuelle Sicherheitslücke gemeldet. Leo Feyer und sein Team haben sich dieser Sache sofort angenommen und den Sachverhalt geprüft. Bei ihrer Prüfung mussten sie das Sicherheitsproblem leider bestätigen. Umgehend hat sich das Team um eine Lösung bemüht. Hierbei wurde ein weiteres Problem aufgedeckt und ebenfalls sofort behoben.
Wer ist betroffen?
Grundsätzlich sind alle 2.x, 3.x und 4.x Versionen mit Ausnahme der Versionen 3.2.16, 3.3.7 und 3.4.0 betroffen. Erweiterungen sind nicht direkt betroffen, wenn diese zur Verarbeitung von Nutzerdaten (aus Formularen o.ä.) auf die Contao Funktionen zurückgreifen. Erweiterungen, die an den Contao Funktionen vorbei arbeiten, müssen ggfs. geprüft werden.
Was lässt sich angreifen?
Angreifen lässt sich prinzipiell jede Installation. Besonders angreifbar sind Websites mit Eingabemasken. Unsere Empfehlung: Fixt zuerst Installationen, die über eine Suche oder ein Kontaktformular verfügen und danach den Rest.
Unter Contao 3.x/4.x lassen sich die Contao Benutzer und Website Besucher mit XSS Attacken angreifen.
Contao 2.x lässt sich nicht mit XSS angreifen, ein Update ist trotzdem empfohlen.
Die Contao 2.x/3.x/4.x Installation selbst (auf PHP oder Datenbankebene Ebene) und der Server ist NICHT angreifbar.
Mehr Informationen
Weitere Informationen findest Du auf der Seite der Contao-Community-Alliance. Dort gibt es auch Patches für die meisten Versionen.
Aktualisiert Eure Contao-Installation umgehend!
Lesezeichen