Contao-Camp 2024
Ergebnis 1 bis 17 von 17

Thema: Frage zu Sicherheitsupdate Cross-Site-Scripting im System-Log

  1. #1
    Contao-Nutzer
    Registriert seit
    02.02.2012.
    Beiträge
    62

    Standard Frage zu Sicherheitsupdate Cross-Site-Scripting im System-Log

    Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.
    Workaround

    Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).
    Versteh ich nicht ganz. Einerseits müssen Angreifer nicht angemeldet sein, andererseits soll das deaktivieren des besagten Backend-Moduls helfen, das ja nur angemeldete Benutzer bedienen.
    Und wie deaktiviert man dieses Modul (und wieso für besonders Admins - wer außer dem Admin sollte es dann je wieder aktivieren?
    Leider finde ich keinen Hinweis dazu, vielleicht kann da jemand helfen?

    Viele Grüße, Jott

  2. #2
    Contao-Urgestein Avatar von fiedsch
    Registriert seit
    09.07.2009.
    Ort
    München
    Beiträge
    2.936

    Standard

    Ich verstehe es so: Das Problem ist ja nicht das Vorhandensein von "bösem" Text in den Log-Tabellen, sondern dessen Anzeige und dabei Ausführung von Code im Kontext des angemeldeten Benutzers. Wenn es keiner sieht/anschaut, wird auch nichts ausgeführt.
    Contao-Community-Treff Bayern: http://www.contao-bayern.de

  3. #3
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.066
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Der Angreifer kann Schadcode in die Log-Tabelle reinschreiben, der ausgeführt wird, wenn jemand im Backend die Systemlogs anschaut. Je mehr Rechte derjenige dann hat, desto mehr Schaden kann angerichtet werden. In der Rechteverwaltung kann man Benutzergruppen / Benutzern das Recht entziehen, dieses Modul zu benutzen. So habe ich es jedenfalls verstanden.

  4. #4
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Für selbst angelegte Benutzergruppen ist das klar. Dort kann ich das System-Log deaktivieren.
    Aber gerade für die Standard-Administrator Gruppe gibt es ja keine Rechteverwaltung, in der man das System-Log deaktivieren könnte.
    Die haben ja automatisch alle Berechtigungen. Wo / wie entziehe ich denn dort explizit dieses Recht?

  5. #5
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.984
    Partner-ID
    10107

    Standard

    Am besten ist du aktualisierst auf Contao 4.9.16.
    » sponsor me via GitHub or PayPal or Revolut

  6. #6
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Und wenn das aus Kompatibilitätsgründen nicht geht (z.B. weil das verwendete Theme nocht nicht dafür freigegeben ist)?

  7. #7
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.984
    Partner-ID
    10107

    Standard

    Auf welcher Contao Version bist du jetzt und um welches Theme handelt es sich?
    » sponsor me via GitHub or PayPal or Revolut

  8. #8
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.331
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    So aus dem Bauch heraus:
    Code:
    RewriteCond %{REQUEST_URI} \/?contao
    RewriteCond %{QUERY_STRING} ^.*do=log.*$
    RewriteRule .* - [F]

    Gesendet von iPhone mit Tapatalk

  9. #9
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Ich nutze aktuell eine Version 4.9.13 mit PCT. Das ist die höchste Version, die z. Zt. freigegeben ist.

  10. #10
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Zitat Zitat von lucina Beitrag anzeigen
    So aus dem Bauch heraus:
    Code:
    RewriteCond %{REQUEST_URI} \/?contao
    RewriteCond %{QUERY_STRING} ^.*do=log.*$
    RewriteRule .* - [F]

    Gesendet von iPhone mit Tapatalk
    Ich nehme an, dass betrifft einen Eintrag in der .htaccess?

  11. #11
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.984
    Partner-ID
    10107

    Standard

    Zitat Zitat von wdm Beitrag anzeigen
    Ich nutze aktuell eine Version 4.9.13 mit PCT. Das ist die höchste Version, die z. Zt. freigegeben ist.
    Ich kann mir nicht vorstellen, das ein Theme nur auf gewisse Bugfix Versionen freigegeben sein kann. Du solltest auf jeden Fall aktualisieren können.
    » sponsor me via GitHub or PayPal or Revolut

  12. #12
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Es gibt im PCT-Forum einen extra Freigabethread dazu.
    Das finde ich bei den PCT-Themes auch das größte Manko, dass Updates (insbesondere Sicherheitsupdates) nicht immer zeitnah einspielbar sind und diese sich nicht über den Contao Manager updaten lassen.
    Ist aber eine andere Geschichte.

  13. #13
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.984
    Partner-ID
    10107

    Standard

    Zitat Zitat von wdm Beitrag anzeigen
    Es gibt im PCT-Forum einen extra Freigabethread dazu.
    Das finde ich bei den PCT-Themes auch das größte Manko, dass Updates (insbesondere Sicherheitsupdates) nicht immer zeitnah einspielbar sind und diese sich nicht über den Contao Manager updaten lassen.
    Ist aber eine andere Geschichte.
    In diesem Thread steht aber, dass die Freigabe für 4.9.16 besteht.

    In wie fern können Updates nicht über den Contao Manager eingespielt werden? Sollte ganz normal funktionieren.
    » sponsor me via GitHub or PayPal or Revolut

  14. #14
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Das kommt davon, wenn man nur den letzten Beitrg liest. Dort steht als letzte Freigabeversion die 4.9.13.
    Danke für den Hinweis.
    Ich meinte die Updates für das PCT-Theme. Die müssen manuell per FTP hochgeladen werden, da die sich auch nicht über den Manager installieren lassen.

  15. #15
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.984
    Partner-ID
    10107

    Standard

    Ja, aber das hat ja nichts mit dem Contao Update zu tun.
    » sponsor me via GitHub or PayPal or Revolut

  16. #16
    Contao-Urgestein
    Registriert seit
    20.09.2012.
    Ort
    Lüneburger Heide
    Beiträge
    1.971
    Partner-ID
    12207
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von wdm Beitrag anzeigen
    Es gibt im PCT-Forum einen extra Freigabethread dazu.
    Das finde ich bei den PCT-Themes auch das größte Manko, dass Updates (insbesondere Sicherheitsupdates) nicht immer zeitnah einspielbar sind und diese sich nicht über den Contao Manager updaten lassen.
    Ist aber eine andere Geschichte.
    Das aktuelle EX 3 läuft mit Contao 4.9.16.

    Gruß
    tschero
    Autodidakt und HobbyWebdesigner

    www.webdesign24.biz
    Screencasts zu Contao

  17. #17
    Contao-Nutzer Avatar von wdm
    Registriert seit
    11.04.2011.
    Beiträge
    230

    Standard

    Ja, ich weiß.
    Ich schrieb das auch nur im Zusammenhang mit der PCT-Installations-/-Update Philosophie.
    War vielleicht etwas mißverständlich.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •