Contao-Camp 2024
Ergebnis 1 bis 14 von 14

Thema: Contao 4.4.52, 4.9.6 und 4.10.1 sind verfügbar

  1. #1
    Newsbot
    Registriert seit
    17.06.2009.
    Ort
    Newsbot - kein echter Nutzer!
    Beiträge
    789

    Beitrag Contao 4.4.52, 4.9.6 und 4.10.1 sind verfügbar

    Contao 4.4.52, 4.9.6 und 4.10.1 sind verfügbar. Die Releases schließen die Sicherheitslücke CVE-2020-25768.


    Ganzen Beitrag zu 'Contao 4.4.52, 4.9.6 und 4.10.1 sind verfügbar' lesen

  2. #2
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Die Kunden sind verunsichert. Daher ist es schon wichtig zu wissen: Was genau bedeutet das?

    https://contao.org/de/sicherheitshin...ormularen.html

    Ich verstehs nicht.

    1. "Es ist möglich, Insert-Tags in Formulare im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden."

    Um welche Formulare geht es überhaupt und inwiefern wird etwas ausgegeben? Das wäre schon sehr wichtig zu wissen, gerade im Hinblick darauf, dass wir viele Erweiterungen entwickeln...

    2. "Empfohlene Lösung: Update auf Contao 4.4.52, 4.9.6 oder 4.10.1."

    Okay, also denke ich mir: "Super, das löst das Problem also".

    "Workaround: Deaktiviere das Login-Formular im Frontend und verwende keine Formularfelder mit Array-Keys wie z.B. fieldname[]."

    Nun bin ich selbst verunsichert. Also muss ich nun doch etwas machen, obwohl ich update oder ist der Workaround der Ersatz für die "empfohlene Lösung"?
    Bitte um Aufklärung.
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  3. #3
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    ist der Workaround der Ersatz für die "empfohlene Lösung"?
    Yes. Falls du nicht (so schnell) aktualisieren kannst, kannst du vorerst den Workaround anwenden, um schnell sicherzustellen, dass diese Lücke nicht ausgenutzt werden kann.

  4. #4
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Danke für die Info!
    Dann ist nur noch die Frage (1) inwiefern man eigene Formulare (Module) anpassen muss, damit diese wieder sicher sind. Hast du evtl. den Link zu dem geänderten Code?
    Im Changelog find ich zu dem Sicherheitsupdate leider auch nichts, also hier:
    https://github.com/contao/contao/blo...6/CHANGELOG.md

    Evtl. kann mir ja auch jemand Details per PM schreiben, falls die Infos nicht für die Öffentlichkeit bestimmt sind (um Hackern keine Anleitung zu bieten).
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  5. #5
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Dann ist nur noch die Frage (1) inwiefern man eigene Formulare (Module) anpassen muss, damit diese wieder sicher sind. Hast du evtl. den Link zu dem geänderten Code?
    Du darfst einfach keine Formularfelder mit "[]" am Ende des Feldnamens verwenden (so wie in der Ankündigung beschrieben).

  6. #6
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Das ist doch gar nicht realisierbar. Jedes Checkbox-Menü hat solche Felder, u.a. Newsletter beim Registrieren.

    Edit: Hab es gerade in der Demo nachgestellt (allerdings ist dort noch Contao 4.9.5).
    https://demo.contao.org/en/applications.html
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  7. #7
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Das ist doch gar nicht realisierbar.
    Naja, wenn es für dein jeweiliges Projekt nicht realisierbar ist, weil du in dem Formular "foo[]" brauchst, dann musst du zwingend Contao aktualisieren. Du hast eben diese zwei Möglichkeiten: entweder du verwendest im Formular keine Formularfelder mit Array-Notation, oder du aktualisierst Contao.

  8. #8
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Jedes Checkbox-Menü hat solche Felder, u.a. Newsletter beim Registrieren.
    Bei Feldern, wo der User-Input auf bestimmte Werte validiert wird, ist es egal. Es geht nur um Felder, wo die vom Nutzer eingegebenen Daten danach 1:1 wieder ausgegeben werden.

  9. #9
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Dann versteh ich die Logik leider nicht. Selbst in eigenen Erweiterungen werden die Felder validiert, wenn der inputType entsprechend gesetzt ist. Und nur wenn der inputType entsprechend gesetzt ist, werden die eckigen Klammern dran gesetzt.

    Warum sollte man (außer bei Checkbox Menü und Radiobox Menü) eckige Klammern verwenden? Dann müsste das ja jemand explizit beim Feldnamen eingeben und sowas macht doch kein Mensch, da es überhaupt keinen Sinn ergibt?
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  10. #10
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Warum sollte man (außer bei Checkbox Menü und Radiobox Menü) eckige Klammern verwenden?
    Damit du die Daten dann automatisch als Array hast. Wenn du ein Formular mit
    HTML-Code:
    <input type="text" name="foo[]">
    <input type="text" name="foo[]">
    generieren lässt und dann abschickst, dann hast du mit
    PHP-Code:
    $request->request->get('foo'
    ein Array mit zwei Elementen. Ob und warum du das brauchst kommt halt einfach auf den jeweiligen Use-Case an.
    Geändert von Spooky (24.09.2020 um 18:13 Uhr)

  11. #11
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Achso okay, danke für die Erklärung... multicolumns im Frontend quasi... leider gibt es so ein Textfelder Widget ja nicht von Haus aus (was ich mir schon oft gewünscht habe). Also kann das ja nur von selbst zusammengezimmerten Formularen oder Erweiterungen ohne vernünftige Validierung kommen.

    Das heißt im Prinzip, sofern man z.B. nur den Formulargenerator eingesetzt hat (und keine eckigen Klammern manuell eingefügt hat), dann braucht man gar nicht updaten?

    Sollte das der Fall sein, finde ich die große Ankündigung und Panikmache etwas übertrieben. Klar kostet es als (Core) Entwickler Zeit, aber es ist doch immens wichtig, dass zumindest die Agenturen und Entwickler klar bescheid wissen was genau das Problem ist und nicht wegen der Unklarheit alle gleichzeitig wie wild E-Mails schreiben und instant updaten müssen.
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  12. #12
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Achso okay, danke für die Erklärung... multicolumns im Frontend quasi... leider gibt es so ein Textfelder Widget ja nicht von Haus aus (was ich mir schon oft gewünscht habe). Also kann das ja nur von selbst zusammengezimmerten Formularen oder Erweiterungen ohne vernünftige Validierung kommen.
    Nein, das kannst du auch direkt im Formulargenerator so machen.



    Zitat Zitat von Stranger Beitrag anzeigen
    Das heißt im Prinzip, sofern man z.B. nur den Formulargenerator eingesetzt hat (und keine eckigen Klammern manuell eingefügt hat), dann braucht man gar nicht updaten?
    Doch, es geht eigentlich spezifisch um den Formulargenerator. Aber ganz allgemein geht es um alle zutreffenden Teile einer Applikation, die die Contao Widgets benutzen - also auch wenn man bspw. Haste Forms nutzt.

  13. #13
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Ich habe schon Hunderte Contao-Installationen gesehen, aber noch nie, dass jemand bei Textfeldern eckige Klammern verwendet, um es als Array zu gebrauchen. Zudem wird beim Standard-Formulargenerator anschließend doch gar nichts ausgegeben.
    Außerdem fällt mir nicht wirklich ein sinnvoller Ansatz ein inwiefern man irgendetwas schlimmes manipulieren kann durch den Einsatz von Inserttags. Das schlimmste wäre doch, dass man eine Datei inkludiert. Diese müsste aber auf dem Server im Templates Ordner sein und außerdem müsste man bescheid wissen was für Dateien da überhaupt herumliegen. Zudem müsste in den Dateien irgendwas ganz spezielles stattfinden, dass man das hier überhaupt als Sicherheitslücke bezeichnen kann.

    Also wenn man mal ehrlich ist: Es müssen sooooooo viele Bedingungen erfüllt sein, dass das Problem eher theoretischer Natur ist.
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  14. #14
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Ich habe schon Hunderte Contao-Installationen gesehen, aber noch nie, dass jemand bei Textfeldern eckige Klammern verwendet, um es als Array zu gebrauchen.
    Wir haben das auf jeden Fall mal schon so verwendet (wenn auch nicht über den Formulargenerator).


    Zitat Zitat von Stranger Beitrag anzeigen
    Zudem wird beim Standard-Formulargenerator anschließend doch gar nichts ausgegeben.
    Doch natürlich wird da etwas ausgegeben.


    Zitat Zitat von Stranger Beitrag anzeigen
    Außerdem fällt mir nicht wirklich ein sinnvoller Ansatz ein inwiefern man irgendetwas schlimmes manipulieren kann durch den Einsatz von Inserttags.
    Auch wenn dir persönlich nichts kein Ansatz einfällt, ist es nach wie vor ein kritisches Sicherheitsproblem. Ansätze wie man dieses Sicherheitsproblem ausnutzen kann werden wir hier auch nicht diskutieren.


    Zitat Zitat von Stranger Beitrag anzeigen
    Also wenn man mal ehrlich ist: Es müssen sooooooo viele Bedingungen erfüllt sein, dass das Problem eher theoretischer Natur ist.
    Wenn du die Array Notation meinst: ja, da ist es ein wenig spezieller. Das Problem in Login Formular erfordert jedoch keine besonderen Bedingungen.


    Moderation: aber wie gesagt, die Diskussion sollte hiermit beendet werden.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •