3.5.20 Sicherheitsupdate

[comanche]

Hallo zusammen,

leider tu' ich mich etwas schwer, über die Suchfunktion die fehlenden Infos zu erhalten, deshalb frag' ich direkt hier:

Wen bzw. welche Funktionen betrifft die XSS-Schwachstelle, die mit dem Update 3.5.20 behoben wurde?

Außerdem wurde eine potentielle XSS-Schwachstelle behoben, die von Pascal Gerundt gefunden und gemeldet wurde.

Kann man sagen, man sollte grundsätzlich updaten, egal welche Funktionen/Erweiterungen die Contao-Installation nutzt oder betrifft dies nur spezielle Installationen (Shop-System etc.)? Als Nicht-Programmierer fällt es mir schwer, die Dringlichkeit eines solchen Updates einzuschätzen und gegenüber einem Kunden zu argumentieren. Meist sind ja diverse Erweiterungen nicht für die aktuellste Contao-Version freigegeben und ich frage mich, ob ich mir / dem Kunden mit einem sturen Update nicht eher mehr Probleme einhandele. Für wie wichtig wird ein Update auf >= 3.5.20 eingeschätzt?

Danke und Grüße,
Andreas

[mlweb]

Bei einer propagierten Sicherheitslücke empfehle ich grundsätzlich ein Update, außerdem ersparen regelmäßige Updates Probleme die sonst bei größeren Versionssprüngen auftreten können.
Was Probleme mit Erweiterungen betrifft - inherhalb einer Version treten die ja eher weniger auf. Die wenigen die es dann doch mal gibt, werden meist in den ersten Tagen gefunden und behoben.

[comanche]

Bei einer propagierten Sicherheitslücke empfehle ich grundsätzlich ein Update, außerdem ersparen regelmäßige Updates Probleme die sonst bei größeren Versionssprüngen auftreten können.
Was Probleme mit Erweiterungen betrifft - inherhalb einer Version treten die ja eher weniger auf. Die wenigen die es dann doch mal gibt, werden meist in den ersten Tagen gefunden und behoben.

Hast ja recht ;-)

[PaddySD]

Vielleicht bin ich ja ein Glückskind, aber die letzten mindestens zehn Updates (also nach Versionen, nicht Installationen) liefen mittels easyUpdate (BugBuster) völlig problemlos. Ich mache meine Updates bei manchen Seiten sogar auf dem Live-Server.

Klar kann es immer Probleme geben, aber sind wir mal ehrlich, die Wahrscheinlichkeit, dass bei 3.5.x auf 3.5.x+1 Fehler passieren oder Erweiterungen nicht funktionieren, ist mehr als gering, praktisch gegen Null gehend...

Nur Mut, lokale Kopie machen, Update testen und los!

PS: Ich glaube, bei der 3.5.18 war irgendwas mit tl_search leeren vor dem DB-Update. Aber das war's auch schon...

[lucina]

Hallo zusammen,

leider tu' ich mich etwas schwer, über die Suchfunktion die fehlenden Infos zu erhalten, deshalb frag' ich direkt hier:

Wen bzw. welche Funktionen betrifft die XSS-Schwachstelle, die mit dem Update 3.5.20 behoben wurde?

Kann man sagen, man sollte grundsätzlich updaten, egal welche Funktionen/Erweiterungen die Contao-Installation nutzt oder betrifft dies nur spezielle Installationen (Shop-System etc.)? Als Nicht-Programmierer fällt es mir schwer, die Dringlichkeit eines solchen Updates einzuschätzen und gegenüber einem Kunden zu argumentieren. Meist sind ja diverse Erweiterungen nicht für die aktuellste Contao-Version freigegeben und ich frage mich, ob ich mir / dem Kunden mit einem sturen Update nicht eher mehr Probleme einhandele. Für wie wichtig wird ein Update auf >= 3.5.20 eingeschätzt?

Danke und Grüße,
Andreas

Ergänzend dazu: Es kann Sicherheitslücken geben, die einfach (im Sinne von simpel) ausnutzbar sind. Um es - wie Du es schreibst - 'Nicht-Programmierern' schwerer zu machen, diese Lücken auszunutzen, ist es manchmal sinnvoll, die Details nicht explizit zu veröffentlichen. Damit hält man sicher einige Script-Kiddies dann auch draussen, die gerne mal mit ergoogeltem Code Frontendformulare etc bestücken.

Es ist klar, dass so ein Vorgehen nicht nur Vorteile hat. Jede Person, die ein paar erweiterte Grundkenntnisse hat, wird auch in der Lage sein, anhand einer Codeänderung in einer bestimmten Version nachzuvollziehen, an welcher Stelle genau eine mögliche Lücke steckt.

Erweiterungen sind sicher noch ein anderes Thema - auch hier hilft in der Regel, sich vor der Installation einer Extension zumindest rudimentär damit zu beschäftigen, was sie tut und wie sie es tut und sie im Zweifelsfall nicht zu installieren. Auch Erweiterungen können von Sicherheitsproblemen im Contao-Core betroffen sein, wenn sie Methoden von Contao benutzen (so wie das auch empfohlen ist). Auf der anderen Seite profitieren Erweiterungen, die Core-Methoden nutzen, dann auch unmittelbar von Sicherheitsfixes im Core.

Erweiterungen, die ihre Funktionen jenseits der dokumentierten Methoden bereitstellen sind dabei dann aber auch selbst dafür verantwortlich, keine Sicherheitslücken zu öffnen. Man muss dann also dem Ersteller der betreffenden Extension auch unbedingt vertrauen (was mir persönlich immer schwerfallen würde).

Insofern kann der Ratschlag nur lauten, Contao-Updates immer einzuspielen (und mit Kunden darüber auch bereits vorab Vereinbarungen zu treffen) und bei Erweiterungen sehr aufmerksam zu sein. Eine zeitnahe Freigabe für aktuelle Contao-Versionen ist für mich im Übrigen ein Indiz dafür, dass sich jemand um seinen Code kümmert.

[comanche]

[...] Eine zeitnahe Freigabe für aktuelle Contao-Versionen ist für mich im Übrigen ein Indiz dafür, dass sich jemand um seinen Code kümmert.

Ja, wäre schön wenn das immer so wäre. Leider kann man nicht in die Zukunft schauen und sehen, dass die Entwicklung einer Erweiterung nicht weiter betrieben wird.

[lucina]

Du könntest beispielsweise im jeweiligen Github-Repo schauen, wie aktiv etwas gepflegt wird. Das ist ja nun der Vorteil von Open Source-Projekten, dass Du Dich relativ schnell umfassend informieren kannst.

[comanche]

...

Klar kann es immer Probleme geben, aber sind wir mal ehrlich, die Wahrscheinlichkeit, dass bei 3.5.x auf 3.5.x+1 Fehler passieren oder Erweiterungen nicht funktionieren, ist mehr als gering, praktisch gegen Null gehend...

...

Ja, erfahrungsgemäß sollte das problemlos funktionieren. Allerdings sind manche Sites noch < 3.5.X ... aber werd' es schon hinbekommen. ;-)

[mlweb]

Wenn Du uns mitteilst um welche Erweiterungen es geht, dann kann hier vielleicht jemand seine Erfahrungen teilen.

[comanche]

Wenn Du uns mitteilst um welche Erweiterungen es geht, dann kann hier vielleicht jemand seine Erfahrungen teilen.

Da muss ich mir selbst erst einen Überblick verschaffen. Von einigen weiß ich, dass sie beispielsweise für 3.2.x freigegeben sind, aber auch unter 3.5.x laufen. Von anderen weiß ich es (noch) nicht. Werd' wie gewohnt in den jeweiligen Rubriken hier im Forum recherchieren und bei Unsicherheit nochmal nachfragen.

Grüße,
Andreas