Sicherheitskritisches Contao-Release am 15.11.2017

***leo*** · 07.11.2017, 15:45

Bitte vormerken: Am 15.11.2017 werden wir ein sicherheitskritisches Contao-Release für Contao 3 und Contao 4veröffentlichen!

**WebRoxx** · 08.11.2017, 11:49

Vielleicht blöde Frage aber wird es wieder so enden das man alles tauschen muss an dateien oder eventuell nur die betroffenen?

**BugBuster** · 08.11.2017, 11:54

Das hängt das davon ab wie du das Update durchführst.
Normalerweise reicht es in Contao 3 nur die betroffenen zu tauschen und dann noch ein zwei weitere damit die neue Versionsnummer auch sichtbar wird.

Für Contao 4 wird dann ein neues Bundle gentaggt (und somit ne neue Version) und Composer tauscht dann das gesamte Bundle aus. Da sollte man per Hand nicht rangehen.

**BugBuster** · 08.11.2017, 11:56

Falls du manuell machen musst, es gibt ja die Update ZIPs von mir, die kannste auch für ein manuelles Update nehmen.

**WebRoxx** · 09.11.2017, 07:10

Ich nochmal.

ja die Zip von dir sind ja gut. Aber wenn jetzt der Patch raus ist würde es ja nur von 3.5.30 zu 3.5.31 wenig Aufwand sein. Mir machen eher Contaos und der Aufwand sorgen wenn die Versionsprünge zu groß sind wie 3.5.9 = 3.5.31

Da wäre es eben gut wenn für solche Fälle nur die betroffnene Dateien als Zip gäbe ohne die Versionsnummer zu ändern

***lucina*** · 09.11.2017, 08:03

Von 3.5.9 zu 3.5.31 sollte eher unkritisch sein. Obendrein hast Du dann ein paar andere Updates (u.a. eine sicherheitskritische Lücke im TinyMCE, eine PHP-Upload-Lücke ...) verschlafen.

Es gibt also absolut keinen Grund, das auszulassen. Wenn Du das bisher getan hast, dann solltest Du jetzt handeln - auch mit Easyupdate3 ist das mit ein paar Zwischenschritten schnell erledigt (zuerst dabei den Suchindex löschen, nach dem Update auf AFAIK 3.5.12 wieder aufbauen).

**WebRoxx** · 09.11.2017, 09:08

Zitat von lucina

Von 3.5.9 zu 3.5.31 sollte eher unkritisch sein. Obendrein hast Du dann ein paar andere Updates (u.a. eine sicherheitskritische Lücke im TinyMCE, eine PHP-Upload-Lücke ...) verschlafen.

Es gibt also absolut keinen Grund, das auszulassen. Wenn Du das bisher getan hast, dann solltest Du jetzt handeln - auch mit Easyupdate3 ist das mit ein paar Zwischenschritten schnell erledigt (zuerst dabei den Suchindex löschen, nach dem Update auf AFAIK 3.5.12 wieder aufbauen).

Das war nur als Beispiel gedacht

Es geht mir ja nur darum ob es die Zip gibt oder nicht wäre es halt bei solchen Sacher sinnvoll eine Art Patch zur Verfügung zustellen. Shopware zum Beispiel tut dies ohen das man das ganze System Updaten muss.

**derRenner** · 09.11.2017, 09:15

Zitat von Ralf2011

Das war nur als Beispiel gedacht

Es geht mir ja nur darum ob es die Zip gibt oder nicht wäre es halt bei solchen Sacher sinnvoll eine Art Patch zur Verfügung zustellen. Shopware zum Beispiel tut dies ohen das man das ganze System Updaten muss.

Hallo. Wie BugBuster schon oben geschrieben hat, stellt er auf seiner Webseite im Zuge des easyUpdate auch diverse Versions-bundles zur Verfügung. ... und die klappen manuell zu installieren einwandfrei.
Danke an BugBuster an dieser Stelle ... schon mal vorab für den 15.11. ;-)

Gesendet von meinem LG-D802 mit Tapatalk

***lucina*** · 09.11.2017, 09:15

Wir (als CCA) haben das in der Vergangenheit mal gemacht, aber das war in einer Situation, wo eine Menge an älteren Installationen herumgeisterten, die wegen etlicher Kompatibilitätsproblemen nicht updaten konnten (sowas wie von TYPOlight 2.8 nach Contao 3.0 war mal sehr hässlich, auch weil die Zielversion nicht wirklich einsetzbar war).

Zur Zeit sollte die Situation aber anders sein - es gibt weder Gründe, um noch auf Contao 2 zu sein, noch dafür, auf einer nicht mehr supporteten 3er zu bleiben. Daher sehe ich jetzt erst einmal nicht den Bedarf, da separate Packages mit Patches zu schnüren.

Alle sollten auf LTS-Versionen sein, und die bekommen halt ein reguläres Systemupdate. Das ist ja gerade der Sinn von LTS-Versionen, die man doch auch unproblematisch regulär auf dem aktuellen Stand halten kann.

**WebRoxx** · 09.11.2017, 10:06

Ja wie gesagt es war einfach nur ne Anfrage, nicht mehr und nicht weniger.

Wird schon laufen mit den Updates

**Stefko** · 09.11.2017, 11:26

Hallo zusammen,

nur mal aus Interesse gefragt. Mir ist bisher noch nie aufgefallen (aber ich mag mich auch täuschen), dass ein sicherheitskritisches Update mit soviel Vorlauf und dann doch exakt datiert angekündigt wurde. Hat mich ein wenig verwundert. Wie kommt es dazu?
Wie gesagt, reine Neugierde

***lucina*** · 09.11.2017, 11:32

Das war bereits beim letzten Update im Juli so ... (und ja, früher war das nicht üblich).

**mlweb** · 09.11.2017, 12:04

Ich finde die Vorankündigung ausgesprochen gut. Ich kann mich dadurch auf den zusätzlichen Aufwand vorbereiten.

**Toflar** · 09.11.2017, 12:29

Das ist eigentlich das übliche Vorgehen für eine Sicherheitslücke in einer Software. Das machen die meisten uns bekannten Projekte so, ich denk was man selber gut findet darf man sich ruhig abschauen

Meldung der Sicherheitslücke. Darf niemals öffentlich erfolgen (Contao hat dafür die security@contao.org, siehe auch https://contao.org/de/support.html)
Diskussion auf der Security-Mailingliste über einen möglichen Patch. Sobald eine Lösung gefunden ist, wird auch ein Release-Termin festgelegt, der allen passt (falls irgendwas auftauchen sollte). In diesem Fall erst nächsten Mittwoch, weil wir fast alle ans Camp reisen
Öffentliche Ankündigung des Release-Termins, damit alle Agenturen/User Zeit haben, die betroffenen Installationen auszusortieren bzw. sich halt vorzubereiten.
Beantragung einer CVE-Nummer (https://cve.mitre.org)
Release mit CVE-Nummer im Changelog. Wichtig ist, dass bis zum Release keine Informationen zur Sicherheitslücke veröffentlicht werden (bis auf die betroffenen Versionen).

So ungefähr sehe ich das zumindest

**xtra** · 10.11.2017, 20:30

@Toflar: Punkt 2. und 4. laufen parallel ab, ansonsten stimme ich dir zu.

**Fehrmann** · 11.11.2017, 17:06

Für Updates innerhalb einer Minor-Version (keine größeren Sprünge) gäbe es auch noch die Patches auf OMOS.de (http://www.omos.de/patches.html).

Die Versionsnummer auswählen und es wird on-the-fly ein entsprechender Patch als Zip zur Verfügung gestellt. Damit update ich die meisten unserer Installationen.

Ich denke, das ich auch am Mittwoch die neue 3.5.31 noch einarbeite.

Bitte die Hinweise beachten.

Viele Grüße
René

**alexgr** · 13.11.2017, 09:53

Möchtet ihr daraus nicht auch einen Newsbeitrag auf contao.org machen? Die Nachfrage kommt vielleicht ein bisschen spät, aber besser spät als nie.

**mlweb** · 13.11.2017, 11:52

Kommt mit Sicherheit, wenn das Update rauskommt und die Infos über die Sicherheitslücke bekannt gemacht werden.

**alexgr** · 13.11.2017, 18:27

Zitat von mlweb

Kommt mit Sicherheit, wenn das Update rauskommt und die Infos über die Sicherheitslücke bekannt gemacht werden.

Ja, das ist klar, es ging ja um die Vorlaufzeit, bevor das passiert – siehe die Beiträge beim letzten Mal:
Ankündigung: https://contao.org/de/news/sicherhei...2-07-2017.html
Erscheinen des Updates: https://contao.org/de/news/contao_3-5-28.html

Ich wollte auch kein Fass aufmachen, nur nachfragen, weil es halt beim letzten Mal so war.

EDIT:

Zitat von alexgr

Ist jetzt vielleicht ein bisschen spät

Mir ist gerade aufgefallen: Das könnte schärfer rüberkommen als es gemeint war. Damit wollte ich eigentlich sagen, dass die Frage etwas spät kommt und es deswegen insgesamt spät ist.

**Fehrmann** · 15.11.2017, 09:09

Hi,

ich habe, wie zugesagt, die neue Version 3.5.31 in den Patch-Service auf OMOS.de integriert.

Viele Grüße
René

**BugBuster** · 15.11.2017, 17:09

Wie oben erwähnt, das Update ZIP für easyUpdate3 oder manuell ist auch online.
https://community.contao.org/de/show...l=1#post456624

**rauel** · 15.11.2017, 18:13

Hallo Zusammen,

einige Webseiten meiner Kunden arbeiten mit den Versionen 3.0.0 bis 3.5.30.
Zum Verständnis, kann ich die updates wie sonst auch über das Live-Update machen? Dazu brauche ich ja eine ID.

Betrifft die Sicherheitslücke auch verschlüsselte (https) Webseiten? Oder kann ich mir den Aufwand in diesem Fall sparen?

Danke im Voraus.

Gruß Claudia

**fiedsch** · 15.11.2017, 19:09

Zitat von rauel

einige Webseiten meiner Kunden arbeiten mit den Versionen 3.0.0 bis 3.5.30.
Zum Verständnis, kann ich die updates wie sonst auch über das Live-Update machen? Dazu brauche ich ja eine ID.

Wenn Du das "wie sonst auch" bereits gemacht hast, solltest Du doch eine ID haben -- verstehe die Frage nicht.

Zitat von rauel

Betrifft die Sicherheitslücke auch verschlüsselte (https) Webseiten? Oder kann ich mir den Aufwand in diesem Fall sparen?

Ja, betrifft auch per https ausgelieferte Websites und nein, kannst Du Dir nicht sparen.

**rauel** · 16.11.2017, 11:58

Zitat von fiedsch

Wenn Du das "wie sonst auch" bereits gemacht hast, solltest Du doch eine ID haben -- verstehe die Frage nicht.

Ja, betrifft auch per https ausgelieferte Websites und nein, kannst Du Dir nicht sparen.

nein ich habe nicht für alle eine ID. ;-)

Okay danke.