Contao-Camp 2024
Ergebnis 1 bis 9 von 9

Thema: Sicherheitslücke CVE-2019-10641

  1. #1
    Newsbot
    Registriert seit
    17.06.2009.
    Ort
    Newsbot - kein echter Nutzer!
    Beiträge
    788

    Beitrag Sicherheitslücke CVE-2019-10641

    Der Sicherheitsforscher Ali Razzaq hat festgestellt, dass bestehende Sitzungen in Contao nicht korrekt invalidiert werden, wenn ein Benutzer sein Passwort im Backend oder Frontend ändert. Der Sicherheitslücke wurde die Nummer CVE-2019-10641 zugewiesen.


    Ganzen Beitrag zu 'Sicherheitslücke CVE-2019-10641' lesen

  2. #2
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    656

    Standard

    Mich würde interessieren, ob das eine Art "Audit" war, oder ob der sich Contao "einfach mal so" vorgenommen hat?

    Weiss jemand zufällig, wie das entstanden ist?

    Ich bin da übrigens sehr dafür, ob geplant/gewünscht oder rein zufällig. Eine bessere Werbevorlage kann man ja kaum für Contao erstellen. Und wenn das rein zufällig war, freut's ich umso mehr, denn das würde auf einen gewissen Stellenwert schliesen lassen, den Contao dann erreicht hätte.

  3. #3
    Contao-Urgestein Avatar von Toflar
    Registriert seit
    15.06.2009.
    Beiträge
    4.466
    Partner-ID
    8667
    User beschenken
    Wunschliste

    Standard

    Einfach so mal Schau dir auch seinen Twitter-Account an, ich glaub der lebt davon
    Contao Core-Entwickler @terminal42 gmbh
    Wir sind Contao Premium-Partner!
    Für Individuallösungen kannst du uns gerne kontaktieren.
    PS: Heute schon getrakked?

  4. #4
    Contao-Nutzer Avatar von malle
    Registriert seit
    21.03.2012.
    Ort
    Berlin
    Beiträge
    65

    Standard

    Eine kurze Rückfrage zu dieser Lücke.

    Ich will nicht das Thema Sicherheit klein reden - es geht mir nur um die Einschätzung der Eile, die bei der Behebung notwendig ist.

    Der Fehler tritt (nur) dann auf, wenn ich mein Passwort ändere und dann noch bestehende Sitzungen im Browser existieren. Es müsste also zum Ausnutzen der Lücke jemand Zugriff auf meinen Computer haben oder verstehe ich das falsch?
    Es gibt immer Möglichkeiten.

  5. #5
    Contao-Urgestein Avatar von Toflar
    Registriert seit
    15.06.2009.
    Beiträge
    4.466
    Partner-ID
    8667
    User beschenken
    Wunschliste

    Standard

    Nein. Zugriff auf deinen Computer ist definitiv nicht nötig.
    Wenn jemand Zugriff auf deinen Account bekommt (über welchen Weg auch immer, siehe deine Signatur), so würde es nichts helfen, wenn du als Sicherheitsmassnahme dein Passwort änderst. Du hättest immer noch die gleiche Session-ID und der Angreifer somit immer noch Zugriff auf deinen Account.
    Natürlich, man muss erst an deine Session kommen. Meistens geschieht das durch das Ausnützen einer anderen Lücke.

    Wenn du mehr darüber lernen möchtest, wäre das Stichwort "Session Fixation Attack". Bei Wikipedia bzw. dem OWASP gibt's jede Menge Informationen dazu.

    Ich denke wir sollten die Dringlichkeit bei Security-Updates nicht in Frage stellen und im Contao-Umfeld (und das schliesst unsere Kunden mit ein) ein klares Signal senden, dass wir jedes potenzielle Sicherheitsproblem sehr ernst nehmen und damit professionell umgehen.
    Contao Core-Entwickler @terminal42 gmbh
    Wir sind Contao Premium-Partner!
    Für Individuallösungen kannst du uns gerne kontaktieren.
    PS: Heute schon getrakked?

  6. #6
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    656

    Standard

    Zitat Zitat von Toflar Beitrag anzeigen
    Nein. Zugriff auf deinen Computer ist definitiv nicht nötig.
    Wenn jemand Zugriff auf deinen Account bekommt (über welchen Weg auch immer, siehe deine Signatur), so würde es nichts helfen, wenn du als Sicherheitsmassnahme dein Passwort änderst. Du hättest immer noch die gleiche Session-ID und der Angreifer somit immer noch Zugriff auf deinen Account.
    Natürlich, man muss erst an deine Session kommen. Meistens geschieht das durch das Ausnützen einer anderen Lücke.

    Wenn du mehr darüber lernen möchtest, wäre das Stichwort "Session Fixation Attack". Bei Wikipedia bzw. dem OWASP gibt's jede Menge Informationen dazu.

    Ich denke wir sollten die Dringlichkeit bei Security-Updates nicht in Frage stellen und im Contao-Umfeld (und das schliesst unsere Kunden mit ein) ein klares Signal senden, dass wir jedes potenzielle Sicherheitsproblem sehr ernst nehmen und damit professionell umgehen.
    Da bin ich ganz bei Dir, so schnell wie das hier abgearbeitet wird, ist sonst kaum jemand. Nicht mal bei deutlich kritischeren Lücken.

    Ich empfinde es auch als durchaus erwähnenswert gegenüber Kunden, denn ich hab noch keinen Betrieb (oder ein Software) gesehen, die fehlerfrei ist. Wichtig ist nur, wie mit entdeckten Fehlern umgegangen wird, und das ist hier unter meinen persönlichen Top3, und ich habe über die Jahre schon so einiges an Software gesehen, ich mach den "Mist" ja nun schon seit Mitte der 90er...

    Danke für die Info, ich dachte, ich hatte da was verpasst, was die Association in Auftrag gegeben hatte. Aber so ist das ja noch viel besser, für mich heisst das, Contao ist offensichtlich in einer Liga angekommen, dass sich auch andere damit beschäftigen. Der prüft garantiert nix, was dreimal weltweit installiert ist. Das muss man sich als System auch erstmal erarbeiten!

  7. #7
    Contao-Nutzer Avatar von malle
    Registriert seit
    21.03.2012.
    Ort
    Berlin
    Beiträge
    65

    Standard

    Hallo Toflar,

    erstmal vielen Dank für die weitere Erläuterung.
    Ich hoffe, das wurde jetzt nicht falsch verstanden: Ich finde es toll, dass ihr die Lücke so schnell fixt.
    Ich wollte auch nicht die Notwendigkeit zu updaten bestreiten.

    Ich muss trotzdem für rund 50 Contaos entscheiden, ob ich am besten noch in der Nacht updaten muss oder ob ich schon die Updates planen kann (inklusive Backups usw).
    Es gibt, um das mal gegenüberzustellen, bei Drupal und Wordpress manchmal Sicherheitslücken, die praktisch eine Stunde nach der Veröffentlichung durch Skripte ausgetestet werden.
    Dabei muss ich auch bedenken, dass composer Updates öfter ihre Tücken haben als Updates unter Contao 3.5 (rein subjektiv betrachtet!!).

    Dank Deiner Darstellung betrachte ich die Lücke nun doch kritischer als vorher.

    Danke also nochmal und ja, "Es gibt immer Möglichkeiten"

    Gruß
    Marcus
    Es gibt immer Möglichkeiten.

  8. #8
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    656

    Standard

    Also ich hatte das nicht negativ verstanden...

    Ich hätte da aber noch eine Frage an Dich, ich hoffe, mir ist das offtopic gestattet: Automatisierst Du die Updates dieser Installationen irgendwie? Oder machst Du da echt Handarbeit im Sinne von jede Installation aufrufen, CM usw usw...?

  9. #9
    Contao-Fan
    Registriert seit
    05.05.2011.
    Beiträge
    860

    Standard

    @PaddySD, hast du da einen Workflow mit dem sich das automatisieren lässt? Das fände ich sehr interessant. Danke!

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •