Contao-Camp 2024
Ergebnis 1 bis 22 von 22

Thema: Sicherheitsupdates am 11. August 2021

  1. #1
    Newsbot
    Registriert seit
    17.06.2009.
    Ort
    Newsbot - kein echter Nutzer!
    Beiträge
    788

    Beitrag Sicherheitsupdates am 11. August 2021

    Am Mittwoch, den 11. August 2021, werden wir Sicherheitsupdates für Contao 4.4, 4.9 und 4.11 veröffentlichen.


    Ganzen Beitrag zu 'Sicherheitsupdates am 11. August 2021' lesen

  2. #2
    Community-Moderator & Contao-Urgestein Avatar von derRenner
    Registriert seit
    23.10.2012.
    Ort
    hoRn|waldviertel
    Beiträge
    2.849
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hallo,

    gibt es nähere Infos welche Sicherheitslücken bzw. welche Bereiche davon betroffen sind?
    Links?

    vielen Dank
    Grüsse
    Bernhard


  3. #3
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.292
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hallo derRenner,
    die wird es (wie immer) zu gegebener Zeit geben ;-)
    Das ist nur ein Service für uns alle, damit wir uns darauf vorbereiten können. Es wird also schon um ein Sciherheitsproblem gehen, was schnell behoben werden sollte.
    Wenn jetzt schon diese Infos veröffentlicht werden würden, dann käme der Patch eine Woche zu spät.

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  4. #4
    Contao-Fan Avatar von Birden
    Registriert seit
    15.01.2011.
    Beiträge
    766

    Standard

    Viele die Contao auf upgedatenten Servern von Neue Medien Münnich laufen haben, werden wohl eh nicht Updaten können, wenn PHP 8 genutzt wird.

  5. #5
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Zitat Zitat von Birden Beitrag anzeigen
    Viele die Contao auf upgedatenten Servern von Neue Medien Münnich laufen haben, werden wohl eh nicht Updaten können, wenn PHP 8 genutzt wird.
    Warum sollte das so sein? Und was hat das mit den Ankündigungen zu den Sicherheitsupdates zu tun?
    » sponsor me via GitHub or PayPal or Revolut

  6. #6
    Contao-Fan
    Registriert seit
    28.11.2009.
    Ort
    Remscheid
    Beiträge
    837

    Standard

    Meine ich das nur oder fallen gerade mehr Lücken als sonst auf?

  7. #7
    Contao-Nutzer
    Registriert seit
    08.04.2013.
    Beiträge
    37

    Standard

    Meine Seite wurde gestern gehackt. Wir sind gerade allgemein unter starkem Beschuss. Da frage ich mich, ob es an dieser Lücke liegt und in der Hackerszene schon bekannt ist.

  8. #8
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Zitat Zitat von Pathor Beitrag anzeigen
    Meine Seite wurde gestern gehackt.
    In wie fern? Welche Contao Version?
    » sponsor me via GitHub or PayPal or Revolut

  9. #9
    Contao-Nutzer
    Registriert seit
    27.08.2020.
    Beiträge
    5

    Standard

    Scheinbar war es auf jeden Fall etwas dringender; ist wohl vorgezogen: 4.9.17 gibt's seit gut 2 Stunden und 4.11.6 seit ner Stunde.

    wobei ich in den Changelogs keine direkten Überschneidungen erkenne. Zumindest nicht auf den ersten Blick

  10. #10
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Die Sicherheitsupdates kommen am 11. August.
    » sponsor me via GitHub or PayPal or Revolut

  11. #11
    Contao-Fan Avatar von Stefko
    Registriert seit
    25.10.2012.
    Ort
    Karlsruhe
    Beiträge
    771
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von werph Beitrag anzeigen
    Scheinbar war es auf jeden Fall etwas dringender; ist wohl vorgezogen: 4.9.17 gibt's seit gut 2 Stunden
    Das ist *NICHT* das Sicherheitsupdate, dieses erscheint wie angekündigt am 11.8.
    Grüße, Stefko

  12. #12
    Contao-Urgestein Avatar von Toflar
    Registriert seit
    15.06.2009.
    Beiträge
    4.466
    Partner-ID
    8667
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von neelix Beitrag anzeigen
    Meine ich das nur oder fallen gerade mehr Lücken als sonst auf?
    Contao wird immer mehr genutzt und analyisiert, das ist was Gutes Die Anzahl der Lücken wird leider fälschlicherweise immer wieder als Argument für die Sicherheit herbeigezogen. Völliger Schwachsinn.
    Das ist wie jüngst bei Corona in den USA: "Testet weniger, dann haben wir weniger Fälle".

    Bei PHP selbst ist ungefähr jedes 3. Release ein Sicherheitsrelease. Das ist völlig normal.
    Ich sage es immer wieder: Entscheidend ist nicht, wie häufig Sicherheitslücken auftreten, sondern wie mit diesen umgegangen wird.

    Contao hat
    1. eine responsible disclosure policy: https://github.com/contao/contao/security/policy
    2. öffentlich einsehbare Sicherheitshinweise (übrigens auch als RSS abonnierbar): https://contao.org/de/sicherheitshinweise.html
    3. Sicherheitsreleases die ausschliesslich die Sicherheitslücke schliessen, nicht mehr und nicht weniger (insofern auch die ganz normalen, regelmässigen Bugfix-Releases heute) um Side-Effects zu minimieren
    4. Ankündigungen von Sicherheitsreleases mit genügend Vorlaufzeit (aber auch nicht zu langer Vorlaufzeit) und ohne weitere Details, um die Angriffsfläche klein zu halten


    oder anders ausgedrückt: Contao macht das eigentlich schon ziemlich gut
    Contao Core-Entwickler @terminal42 gmbh
    Wir sind Contao Premium-Partner!
    Für Individuallösungen kannst du uns gerne kontaktieren.
    PS: Heute schon getrakked?

  13. #13
    Contao-Nutzer
    Registriert seit
    08.04.2013.
    Beiträge
    37

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    In wie fern? Welche Contao Version?
    Zwei Websites:

    4.9.16 und 4.4.55

    Hab den gehackten virtuellen Server gestoppt und ein Backup in einen neuen virtuellen Server eingespielt. Die Server-IPs sind mit Cloudflare geschützt, alle Sicherheitsupdates sind installiert inkl. diverser Sicherheitsmechanismen

  14. #14
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.292
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Pathor Beitrag anzeigen
    Zwei Websites:

    4.9.16 und 4.4.55

    Hab den gehackten virtuellen Server gestoppt und ein Backup in einen neuen virtuellen Server eingespielt. Die Server-IPs sind mit Cloudflare geschützt, alle Sicherheitsupdates sind installiert inkl. diverser Sicherheitsmechanismen
    Aus diesen Gründen vermutest du also, dass Contao selber genutzt wurde als Einfallstor?
    Es wäre sinniger, wenn du bei dir genauer untersuchst, wie da in den virtuelle Server eingebrochen wurde.Selbst mit einem komplett aktuellen System kann sowas immer passieren. Stichwort: Irgendein Passwort wurde 'erraten' oder sonst was. Hilft ja nicht, wenn du einfach so vermutest was das Problem war ohne es wirklich zu wissen oder?

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  15. #15
    Contao-Fan Avatar von Birden
    Registriert seit
    15.01.2011.
    Beiträge
    766

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Warum sollte das so sein?
    https://community.contao.org/de/show...-nicht-oder-so

    Ob es etwas mit Conao zu tun hat weiß ich nicht, der Hoster mein schon ...

  16. #16
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Zitat Zitat von Birden Beitrag anzeigen
    https://community.contao.org/de/show...-nicht-oder-so

    Ob es etwas mit Conao zu tun hat weiß ich nicht, der Hoster mein schon ...
    Dieses Problem hindert dich ja nicht daran Contao zu aktualisieren.
    » sponsor me via GitHub or PayPal or Revolut

  17. #17
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.682
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von Pathor Beitrag anzeigen
    Zwei Websites:

    4.9.16 und 4.4.55

    Hab den gehackten virtuellen Server gestoppt und ein Backup in einen neuen virtuellen Server eingespielt. Die Server-IPs sind mit Cloudflare geschützt, alle Sicherheitsupdates sind installiert inkl. diverser Sicherheitsmechanismen
    Ich hatte bisher mit 5 gehackten "Servern" zu tun - nach Analyse waren es 1x FileZilla-PW-Manager (vor ~15 Jahren), 1xJoomla mit Spamversendung (vor 8 Jahren) und in den letzten vier Jahren drei mal ein Wordpress bzw. irgendwelche Erweiterungen durch die alle Seiten mit irgendwelchen JS versehen wurden.

  18. #18
    Contao-Fan Avatar von Birden
    Registriert seit
    15.01.2011.
    Beiträge
    766

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Dieses Problem hindert dich ja nicht daran Contao zu aktualisieren.
    Es betrifft wohl sämtliche auf PHP 8 laufenden Contao Installationen bei diesem Hoster, bei denen die Server upgedatet wurden oder noch werden. Ist es nicht rückwärtsgewandt und kontraproduktiv, Installationen die seit Wochen auf PHP 8 laufen, auf PHP 7 downzugraden, nur weil ... ?

  19. #19
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Zitat Zitat von Birden Beitrag anzeigen
    Es betrifft wohl sämtliche auf PHP 8 laufenden Contao Installationen bei diesem Hoster, bei denen die Server upgedatet wurden oder noch werden. Ist es nicht rückwärtsgewandt und kontraproduktiv, Installationen die seit Wochen auf PHP 8 laufen, auf PHP 7 downzugraden, nur weil ... ?
    Wie gesagt, das Problem hindert dich nicht daran Contao zu aktualisieren. Es hindert dich auch nicht daran die Datenbank zu aktualisieren. Die Datenbankaktualisierungen werden ja durchgeführt - Contao (bzw. Doctrine) erkennt nur nicht, dass die jeweiligen Felder schon das richtige Format haben. Dein Problem hat jedenfalls nichts mit diesem Thread hier zu tun.
    » sponsor me via GitHub or PayPal or Revolut

  20. #20
    Contao-Urgestein Avatar von do_while
    Registriert seit
    15.06.2009.
    Ort
    Berlin | Deutschland
    Beiträge
    3.612
    Partner-ID
    1081
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Birden Beitrag anzeigen
    Es betrifft wohl sämtliche auf PHP 8 laufenden Contao Installationen bei diesem Hoster, bei denen die Server upgedatet wurden oder noch werden. Ist es nicht rückwärtsgewandt und kontraproduktiv, Installationen die seit Wochen auf PHP 8 laufen, auf PHP 7 downzugraden, nur weil ... ?
    Das klingt dann aber eher nach einem Problem beim Hoster und nicht in den einzelnen Contaos.

  21. #21
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    6.715
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Birden Beitrag anzeigen
    Es betrifft wohl sämtliche auf PHP 8 laufenden Contao Installationen bei diesem Hoster
    Aber offensichtlich nicht grundsätzlich Contao mit PHP 8. Damit sehe ich doch eher das Problem beim Hoster oder ggf. bei einer Erweiterung oder der Kombination zwischen MariaDB und PHP 8 wie im oben verlinkten Thread zu diesem Thema jemand anderes beobachtet hat.
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  22. #22
    Contao-Fan Avatar von Nightwing
    Registriert seit
    29.05.2013.
    Beiträge
    436

    Standard

    Zitat Zitat von mlweb Beitrag anzeigen
    Aber offensichtlich nicht grundsätzlich Contao mit PHP 8.
    So isches, meine Testinstanz läuft bei genanntem Hoster wunderbar mit PHP 8. Ich tippe auch auf entweder DB oder eine Wechselwirkung einer Erweiterung.

    ToM

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •