Sicherheitslücke CVE-2019-11512

[contao.org]

David Wind, Penetration Tester bei A1 Digital, hat festgestellt, dass die ursprünglich unter der Nummer CVE-2017-16558 veröffentlichte SQL-Injection-Sicherheitslücke im Dateimanager weiterhin ausgenutzt werden kann. Der Sicherheitslücke wurde die Nummer CVE-2019-11512 zugewiesen.


Ganzen Beitrag zu 'Sicherheitslücke CVE-2019-11512' lesen

[Toflar]

Weil die Frage nach dem "wie schwerwiegend ist die Lücke?" immer wieder auftaucht, hier die Antwort:

Die Lücke kann ausschliesslich im Backend ausgenutzt werden und nur für alle die Zugriff auf die Dateiverwaltung (und den Datei-Picker, somit also ziemlich sicher alle) haben.

Trotzdem bleibe ich bei meiner Aussage vom 9. April als die anderen Sicherheitslücken geschlossen wurden:

Ich denke wir sollten die Dringlichkeit bei Security-Updates nicht in Frage stellen und im Contao-Umfeld (und das schliesst unsere Kunden mit ein) ein klares Signal senden, dass wir jedes potenzielle Sicherheitsproblem sehr ernst nehmen und damit professionell umgehen.

[mlweb]

Ich gebe @toflar auf jeden Fall insgesamt Recht. Trotzdem ist es für mich gelegentlich eine Hilfe zu wissen, ob eine Sicherheitslücke sehr einfach von quasi jedermann auszunutzen ist oder ob das wie bei dieser nur vom Backend aus möglich ist.
Mit dieser Information kann ich nämlich entscheiden, ob ich die Aktualisierung am besten bei allen Installationen noch heute durchführe oder ob ich bis morgen warte. Außerdem kann ich mir Gedanken darüber machen, wie sinnvoll es ist über eine bestimmte Reihenfolge bei der Aktualisierung nachzudenken. Gerade in diesem Fall würde ich Installationen bei denen der Kunde selbst pflegt zuerst aktualisieren und erst anschließend alle Installationen bei denen sich außer mir im Backend keiner tummelt.