Sicherheitsrelevantes Update am 12.07.2017

**contao.org** · 10.07.2017, 07:30

Am 12.07.2017 erscheint ein sicherheitsrelevantes Update für Contao 3.5 und Contao 4.4. Die damit behobene Schwachstelle ist zwar nicht kritisch, dennoch wird ein Update unbedingt empfohlen.

Ganzen Beitrag zu 'Sicherheitsrelevantes Update am 12.07.2017' lesen

**WebRoxx** · 10.07.2017, 08:26

Wird dann eventuell ein zip mit den betroffenen Dateien zur Verfügung gestellt oder ist alles komplett ?

**Spooky** · 10.07.2017, 08:40

Das sind ganz normale Contao Updates, die du auf die üblichen Arten installieren kannst.

**WebRoxx** · 10.07.2017, 10:08

Zitat von Spooky

Das sind ganz normale Contao Updates, die du auf die üblichen Arten installieren kannst.

Ja schon klar

Frag mich nur seid dem ich Contao nutze warum es keine Update-Pakete (bis auf die von easyUpdate) gibt.
Ist bei Shopware genau so

Aber alles gut dann heißt es warten auf easyUpdate oder das normale nutzen

**Spooky** · 10.07.2017, 10:39

Bei Contao 2 und 3 kannst du das Live Update benutzen. Bei Contao 4 brauchst du nur ein composer update machen.

**Der Astronaut** · 10.07.2017, 11:10

Zitat von Spooky

Bei Contao 4 brauchst du nur ein composer update machen.

Wie sieht dann der dazugehörige Befehl aus?

Wird es bei Contao 4 gar kein Live-Update mehr geben?

**BugBuster** · 10.07.2017, 11:14

Code:

composer update

oder mit dem Contao Manager, bei einer Managed Edition, auf Pakete aktualisieren.

**BugBuster** · 10.07.2017, 11:16

Zitat von Der Astronaut

Wird es bei Contao 4 gar kein Live-Update mehr geben?

Nein, da Contao selbst ja auch unter der Verwaltung von Composer steht, geht nur damit ein Update.

**ihkwdiopk** · 10.07.2017, 11:24

Zitat von BugBuster

Nein, da Contao selbst ja auch unter der Verwaltung von Composer steht, geht nur damit ein Update.

Das ist ja Klasse. Das heisst ja dann, wir können alle ohne Live-Update aktualisieren und sogar die 3rd-Party-Libraries uptodate halten, ohne auf die jeweilige Aktualisierung von Contao warten zu müssen. Und das alles nur mit einem Befehl.

***lucina*** · 10.07.2017, 11:27

Exakt.

**Der Astronaut** · 10.07.2017, 11:27

Zitat von ihkwdiopk

Das ist ja Klasse. Das heisst ja dann, wir können alle ohne Live-Update aktualisieren und sogar die 3rd-Party-Libraries uptodate halten, ohne auf die jeweilige Aktualisierung von Contao warten zu müssen. Und das alles nur mit einem Befehl.

Für Contao ist das jedoch eine wegfallende Einnahmequelle.

Ich könnte mir aber vorstellen, dass dieser Fall intern schon zur Sprache kam.

**Y-Nell** · 10.07.2017, 15:35

Zitat von Der Astronaut

Für Contao ist das jedoch eine wegfallende Einnahmequelle.

Ich könnte mir aber vorstellen, dass dieser Fall intern schon zur Sprache kam.

Ich sehe diesbezüglich keinen großartigen Verluste auf uns zukommen. Sinnvollerweise, so mache ich es zumindest, sollte vorher ein komplettes Backup samt Datenbank vom System erstellt werden, dass nimmt uns Composer ja nicht ab. Und selbst wenn man wie bisher abrechnet, so können sich die Kunden nicht beschweren, wenn man die Häufigkeit von Sicherheitsupdates bei anderen System mit Contao vergleicht.

Im Gegenteil durch Symfony und Composer sind zwei neue Faktoren im Spiel, die zusätzlich für Komplikationen sorgen können. Ein Bug in Symfony sorgte ja schon vor einigen Wochen für Schwierigkeiten. Das ist eigentlich eher meine Sorge, dass durch diese Faktoren der Aufwand bei sogar größer und komplizierter wird als bisher.

Mir fehlt in dem Zusammenhang aber noch die Langzeiterfahrung, da ich erst zwei Installationen mit 4.3.x betreue.

**BugBuster** · 10.07.2017, 16:05

Das schöne an Composer ist, du kannst damit z.B. auch das Update von Symfony verhindern, indem du die volle Versionsnummer als require anforderst.
Wobei Symfony ja auch wieder aus dutzenden Paketen besteht. Aber bisher machte wenn dann immer das Hauptpaket "symfony/symfony" Probleme.

**Y-Nell** · 10.07.2017, 16:19

Gut zu wissen!

Aber hier zeigt sich, dass noch einiges an Aufklärung erfolgen sollte, um den Anwendern die Scheu vor der 4er Version zu nehmen.

Die Videos und Folien zum Upgrade auf z.B. 4.4.x waren ja schon sehr informativ und hilfreich aber mir und wahrscheinlich vielen anderen fehlt noch die nötige Erfahrung mit Composer.

**Stuble** · 10.07.2017, 20:04

Zitat von Y-Nell

Gut zu wissen!

Aber hier zeigt sich, dass noch einiges an Aufklärung erfolgen sollte, um den Anwendern die Scheu vor der 4er Version zu nehmen.

Die Videos und Folien zum Upgrade auf z.B. 4.4.x waren ja schon sehr informativ und hilfreich aber mir und wahrscheinlich vielen anderen fehlt noch die nötige Erfahrung mit Composer.

Hier würde ich auch ganz gern ansetzen.
Wollte unbedingt Contao 4.4 ausprobieren. Mit Composer kenne ich mich nicht aus, außerdem ist bei meinem Hoster nur Version 5.4 verfügbar, Contao Manager funktioniert bei mir nicht, siehe Composer.
Weil ich trotzdem heiß war, habe ich mir die ZIP geladen und darüber "installiert"
Was ich mich jetzt frage, kann ich überhaupt irgendwie ein Update einspielen (z.B. mit ZIP überbügeln) oder muss ich auf einen funktionierenden Contao Manager / Hoster hoffen?

Gesendet von iPhone mit Tapatalk

**fiedsch** · 10.07.2017, 20:55

Zitat von Stuble

außerdem ist bei meinem Hoster nur Version 5.4 verfügbar

Ein Hoster, der nur eine PHP Version anbietet, die längst ihr "end of life" erreicht hat (http://php.net/supported-versions.php) wäre für mich ein dringender Grund zum Anbieterwechsel.

**Stuble** · 10.07.2017, 23:49

Zitat von fiedsch

Ein Hoster, der nur eine PHP Version anbietet, die längst ihr "end of life" erreicht hat (http://php.net/supported-versions.php) wäre für mich ein dringender Grund zum Anbieterwechsel.

Ok, habe aus Scham verschwiegen besagter Hoster heißt 1&1.
Bietet PHP 7.1, aber für Composer nur 5.4. Besitzt aber die Frechheit automatisch Gebühren für einen Extended-Support zu verlangen, falls man auf einer Sub-Domain eine ältere PHP-Version vergessen hat umzustellen, wegen der Sicherheit natürlich. Naja mehr dazu bei Github Contao Manager, Wechsel sollte ich in der Tat überdenken.
Gibt es aber trotzdem eine Update-Lösung für mich?

Gesendet von iPhone mit Tapatalk

**Y-Nell** · 10.07.2017, 23:56

Zitat von Stuble

außerdem ist bei meinem Hoster nur Version 5.4 verfügbar

Vergewissere dich einmal, ob die PHP-Version wirklich den eigentlichen Webserver betrifft oder sich auf die Version zum Ausführen des Codes in der Konsole bezieht.

Bei Netcup oder domainfactory musste ich ähnlich wie in folgendem Thread vorgehen: https://community.contao.org/de/show...ion-4-4-bei-DF

**webstar** · 12.07.2017, 07:38

Zitat von ihkwdiopk

Das ist ja Klasse. Das heisst ja dann, wir können alle ohne Live-Update aktualisieren und sogar die 3rd-Party-Libraries uptodate halten, ohne auf die jeweilige Aktualisierung von Contao warten zu müssen. Und das alles nur mit einem Befehl.

Genau das ist der Sinn, warum auf Composer gesetzt wird. Packt man jetzt noch alle Installationsspezifischen Anpassungen in ein eigenes Repo kann man an sich über die Composer sofort eine Contao-Installation wieder herstellen und aktualisieren. Jetzt noch die Daten (Datenbank, Files) kopieren und gut ist.

**mlweb** · 12.07.2017, 09:08

Zitat von webstar

Packt man jetzt noch alle Installationsspezifischen Anpassungen in ein eigenes Repo kann man an sich über die Composer sofort eine Contao-Installation wieder herstellen und aktualisieren.

Ich finde das wäre mal eine kleine Beschreibung wert. Passt vielleicht inhaltlich gut in diesen Thread oder ins Wiki. Vielleicht existiert so etwas auch schon und man könnte es hier verlinken.

**ihkwdiopk** · 12.07.2017, 09:18

Zitat von mlweb

Ich finde das wäre mal eine kleine Beschreibung wert. Passt vielleicht inhaltlich gut in diesen Thread oder ins Wiki. Vielleicht existiert so etwas auch schon und man könnte es hier verlinken.

Eigentlich reicht eine projektspezifische Anpassung der .gitignore im Root.
Projektspezifisch, da manche:
- vll doch sensible Infos wie DB-PW etc. im Repo haben wollen (aus Backup-Gründen)
- manche ihre System selbet via src-Verzeichniss erweitert haben
- ...

Vielleicht ist das noch eine Idee für die easyBackup Erweiterung.