Composer kann Erweiterungen weder installieren noch deinstallieren

**savuti** · 21.10.2015, 14:57

Hallo,

ich komme nicht mehr weiter. Der Composer Client reagiert nicht mehr korrekt. Ich kann weder Erweiterungen installieren noch deinstallieren. Zwar werden die Erweiterungen in der Paketverwaltung nach der Installation angezeigt, funktionieren aber nicht. Bei der Deinstallation von schon bestehenden Erweiterungen werden diese zwar aus der Paketverwaltung gelöscht, funktionieren aber trotzdem noch.

Auffällig ist, das bei der Installation die nötigen Pakete _nicht_ in "/system/modules/" gespeichert werden.

Was ich probiert habe:

Cache löschen
Von Contao 3.5.2 auf 3.5.4 geupdatet
Alle Erweiterungen löschen
Composer löschen und zurück zum alten Erweiterungskatalog
Composer downgraden und wieder upzudaten

Klappt alles nicht.
Ideen?

Grüße,
Christian

Edit: Ich habe jetzt mal die Webseite gespiegelt und einige Sachen ausprobiert. Nach dem ich so gut wie alles deinstalliert hatte und die letzte Erweiterung die sich noch installieren lies wieder installiert habe kam eine Fehlermeldung:

SNI support not available, OpenSSL version too old. Host verification has been deactivated

Nun lassen sich auch wieder Erweiterungen installieren. Komische Sache das ist.

**webstar** · 21.10.2015, 22:17

Es gab ein Problem, wenn nicht für aktuellste Contao Version installiert war, Composer Contao doppelt installiert hatte, die Erweiterungen in der falschen Installation installiert wurde und somit es di aussah das sie nicht installiert wurden.

Problem wurde heute gefixt. Gibt einige Themen hier dazu.

Hier einer dazu: https://community.contao.org/de/showthread.php?p=387837

Gesendet von meinem Nexus 4 mit Tapatalk

**theobald** · 22.11.2015, 12:18

bitte nicht Meister-Yoda-Deutsch verwenden du musst!

Niemand sonst verstehen Deinen Tipp kann...

**BugBuster** · 22.11.2015, 15:19

SNI support not available, OpenSSL version too old. Host verification has been deactivated

Genau das muss der Composer bzw. der Client erst mal feststellen um es zu deaktivieren.
Dein Hoster / deine Serverumgebug hat eine zu alte Version von curl installiert.

**bizon** · 22.11.2015, 15:57

Zitat von BugBuster

Dein Hoster / deine Serverumgebug hat eine zu alte Version von curl installiert.

Pardon, aber das kann so nicht stimmen. Ich habe diese Meldung in meiner lokalen Testumgebung auch schon mehrfach gesehen. Installiert ist das neueste curl 7.45.0-1. Die Meldung verschwindet dann aber, ohne erkennbare Folgen, bei der nächsten Composer-Aktion . d.h. von der Meldung abgesehen, klappt hier alles.

**BugBuster** · 22.11.2015, 17:31

Dann ist in der openssl Version die SNI Unterstützung nicht dabei (steht ja auch so in der Meldung). Bei CentOS und PHP 5.6 gabs da mal Probleme.
Aber auch in anderen älteren Linux Derivaten.Finde aber grad nicht das Ticket wo die mindest Version von openssl erwähnt wurde.

**bizon** · 22.11.2015, 18:06

Naja, die Meldung taucht gelegentlich auf meinem lokalen Testserver auf. Da sie aber ohne Konsequenzen bleibt, werde ich das weiter ignorieren.
Auch bei Uberspace hab ich das schon gesehen. Ebenfalls ohne weitere Probleme. Dort läuft CentOs, aber das weißt du sicher.

Lokal
-------
Manjaro Linux (Arch Derivat) = Rolling Release
Ich nutze den Testing Branch, d.h. immer die aktuellsten Pakete
Apache 2.4.x

**BugBuster** · 22.11.2015, 19:15

Das die Meldung verschwindet hat Gründe:

Host verification has been deactivated

**Oppa** · 08.01.2016, 17:48

Hallo alle zusammen,

obwohl ich wusste, dass mir der Composer nicht gut tut, habe ich ihn aus Versehen wieder installiert. Wie bekomme ich den aber wieder weg? Er selbst tut nix und das repo hat er mir ja auch abgeklemmt. Hat da einer einen Tipp?
Lokal läuft er wie geschmiert, aber bei 1und1 nicht.
Ist schon gelöst, habe nur vergessen zu speichern. Jetzt suche ich noch den, der das Problem gelöst hat. Bis bald.
Bin wieder da. Dank an Flaschenzug. Genau das Richtige.
https://community.contao.org/de/show...125#post352125

Viele Grüße aus Bredow

Oppa

**chrischnian** · 09.01.2016, 21:33

Ich will mich hier auch mal kurz mit reinhängen.

Ich habe bei mir mal geschaut und habe unter:

Code:

/usr/local/pd-admin2/bin/openssl
OpenSSL> version
OpenSSL 1.0.1q 3 Dec 2015
OpenSSL> exit

die Version ist von 2015 und sollte somit nicht zu alt sein. Warum bekomme ich dennoch die Meldung?

**ChrisT** · 13.01.2016, 07:44

Es gab ein Problem, wenn nicht für aktuellste Contao Version installiert war

3.5.6 ist installiert –*und die Meldung erschien bei meinem Hoster direkt nach der jungfräulichen Installation. Der Hoster meint, die Meldung verschwinde erst, wenn serverseitig eine neuere Curl-Version vorliege –*oder: «Vielleicht gibt es von Contao oder dem Aussteller der Erweiterung eine Lösung um die Überprüfung vom SNI-Zertifikat zu deaktivieren».

Gibt es diese Lösung? Lässt sich der Fehler Contao-seitig umgehen?

Grüsse, Chris

**BugBuster** · 13.01.2016, 13:51

Die Meldung sagt es doch: SNI support not available, OpenSSL version too old. Host verification has been deactivated
Die kommt dann nur noch mal, wenn eine neue composer (binary) installiert wurde zum Beispiel per automatischem Update.

Stören tut die jedenfalls nicht, es läuft alles weiter wie gewollt. Abschalten/Unterdrücken wüsste ich jetzt nicht wie das gehen könnte.

**xtra** · 14.01.2016, 01:13

Die Meldung besagt, dass eutre OpenSSL Version kein SNI kann(!) und daher der composer die SNI Host verification deaktiviert hat(!).

D.h.: Funktionalitaet ist weiterhin gegeben, jedoch ist ein sicherheitsrelevantes Feature deaktiviert worden.

Diese Meldung ist somit eine Warnung (daher auch "Warning") und kein Fehler!

Abgesehen davon hat dein Hoster recht, diese Meldung verschwindet sobald dein Hoster eine supportede (denglisch) Version einspielt.
Ausser CentOS kenne ich keine Distribution die heutzutage noch mit solchen OpenSSL Dinosauriern unterwegs ist (Siehe hierzu auch den commit wo ich die Meldung eingebaut habe).
Schliesslich ist SNI Support in Curl seit 7.18.1 (March 30 2008) enthalten und in openSSL seit 0.9.8f (19 Oct 2007).

Ich denke, man kann im Jahre 2016 durchaus erwarten dass man seine Systeme (auch wenn CentOS meinetwegen noch gepflegt wird) halbwegs aktuell haelt, wenn man alle moeglichen neuen Features nutzen moechte.
Knapp zehn Jahre alte Software zu verwenden sehe ich als nicht "halbwegs aktuell" an.

Daher: Die Funktionalitaet ist nicht beeintraechtigt, es fehlen euch "nur" Sicherheitsfeatures.
Wir muessen das Feature deaktivieren, da es bei euch nicht funktioniert. Dieses machen wir nicht heimlich sondern transparent daher die Meldung.

Fazit:
Aktuelles Hosting mit aktueller Software => keine Meldung, alles shiney.
Steinzeitserver mit Dampfbetrieb => Meldung dass wir sicherheitstechnisch Abstriche machen aber dennoch versuchen so gut es geht zu funktionieren.

Gruss
Chris

EDITH meint: Bevor jemand fragt, NEIN, eine solche Meldung wo vor Sicherheitsproblemen gewarnt wird mache ich logischerweise NICHT abschaltbar. Wo kommen wir denn da hin?