Contao-Camp 2024
Ergebnis 1 bis 7 von 7

Thema: Sicehrheitslücke CVE-2020-25768.

  1. #1
    Contao-Fan
    Registriert seit
    09.02.2011.
    Beiträge
    600

    Standard Sicehrheitslücke CVE-2020-25768.

    Hi,

    ich weiß, dass Contao 3 schon längst Contao 4 sein sollte.

    Trotzdem laufen noch Contao 3 Installationen. In meinem Fall nur für interne Zwecke eines Kunden mit einem Login-Formular (Benutzername, Password)

    Ist diese Sicherheitslücke auch relevant für 3.5 oder nur spezifisch für Contao 4.xx ?

    Weiß das jemand ?

    THX4Info

  2. #2
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Du hast doch sogar die Meldung verlinkt, in der die betroffenen Versionen genannt sind?

    Davon abgesehen: dreifünf isch over. Du musst ohnehin das Upgrade auf die 4er machen.

  3. #3
    Contao-Fan
    Registriert seit
    09.02.2011.
    Beiträge
    600

    Standard

    schon @lucina, aber die 3er wird ja nicht mehr berücksichtigt bei sicherheitsupdates usw

    hab mich nur gefragt, ob die 3er trotzdem noch sicher ist, wenn dort von aussen sichtbar "nur" ein Login Formular vorhanden ist.

    Update ist in diesem Fall ziemlich umfangreich wegen einiger Module. Wollte mit Update noch warten, wenn mal mehr Zeit ist.

    Wenn aber auch die 3er betroffen ist, dann muss ich eh jetzt updaten.

  4. #4
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich persönlich würde davon ausgehen, dass jede Software Sicherheitslücken hat. Bei Software, die aus dem Support heraus ist, kannst Du zusätzlich sicher sein, dass da nichts mehr gefixt wird.

    Ich mache jetzt keinen Audit für veraltete Versionen. Die Rechtslage ist da im Übrigen auch Recht eindeutig: Es wird "Stand der Technik" verlangt, und zwar sowohl in der Datenschutz-Grundverordnung als auch im IT-Sicherheitsgesetz. Ganz gut erläutert ist das beispielsweise hier: https://www.all-about-security.de/fi...er_Technik.pdf

    Insofern: No choice.
    Geändert von lucina (30.09.2020 um 14:28 Uhr)

  5. #5
    Contao-Fan
    Registriert seit
    09.02.2011.
    Beiträge
    600

    Standard

    Grundsätzlich hast Du natürlich recht und ich handhabe das normalerweise genauso.

    Geplant war das Update so oder so bis Ende des Jahres. Ich sah es bloß nicht so zeitkritisch, da diese Installation nur als Intranet benutzt wird.

    Nun weiß ich aber leider immer noch nicht, ob die Lücke Contao 4 spezifisch ist oder auch Contao 3 betrifft.

    Anders gefragt: Brennt der Hut oder kann ich mir die Zeit noch einteilen ?

  6. #6
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Im Intranet brennt er vermutlich nicht so sehr, wenn Intranet bedeutet, dann die Installation nur einem überschaubarem Nutzer*innenkreis zugänglich ist.

  7. #7
    Contao-Fan
    Registriert seit
    09.02.2011.
    Beiträge
    600

    Standard

    Zitat Zitat von lucina Beitrag anzeigen
    Im Intranet brennt er vermutlich nicht so sehr, wenn Intranet bedeutet, dann die Installation nur einem überschaubarem Nutzer*innenkreis zugänglich ist.
    Genau das schreibe ich ja schon von Beginn, sind bekannte Personen und firmenintern, und das ganze ist noch dazu in einer "unbekannten" subdomain. Deshalb hatte ich es nicht eilig mit dem Update, aber Update kommt sowieso.

    Quasi, wer kein Login hat und wer zufälligerweise die Seite vlt findet und das Login nicht manipulieren kann, kommt dort auch nicht rein, wo eventuell andere "neue" 3.5er Lücken sein könnten.

    Nochmal: weiß jemand ob diese Lücke auch das 3.5er Login - Password Formular betrifft ?

    Eigentlich aber eh schon egal, dann mach ich das Update sicherheitshalber eben nächste Woche oder übers WE. Ausserdem hat Kunde lustigerweise vor einer Stunde nach einem Feature gefragt, dass nur Contao 4 mitbringt.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •