Contao-Camp 2024
Ergebnis 1 bis 2 von 2

Thema: CVE-2020-28503 Prototype Pollution (copy-props) in assets/ wie beheben?

  1. #1
    Contao-Nutzer
    Registriert seit
    11.03.2019.
    Beiträge
    4

    Standard CVE-2020-28503 Prototype Pollution (copy-props) in assets/ wie beheben?

    Hallo zusammen,

    ich stehe hier gerade völlig auf dem Schlauch.

    Unsere Seite fing mal mit Contao 3.x an und ist jetzt auf 4.9.39, gehostet auf einem eigenen Unternehmens-Server (Debian), auf den ich auch (eingeschränkten) Zugriff habe. Das Update erfolgte mit Contao-Manager, beim letzten Update von 4.9.27 auf 4.9.39 gab es keinerlei Probleme.

    Nun hat unser Git mich darauf hingewiesen, dass in mehreren "package-lock.json" im Ordner assets/ (u.a. assets/contao/, assets/colorpicker/) das Package "copy-props" in der Version 2.0.4 eingetragen ist. Das sieht dann z.B. so aus:

    Code:
    {
        "name": "contao",
        "lockfileVersion": 2,
        "requires": true,
        "packages": {
            "": {
                "devDependencies": {
                    "gulp": "^4.0.2",
                    "gulp-csso": "^4.0.1",
                    "gulp-ignore": "^3.0.0",
                    "gulp-rename": "^2.0.0",
                    "gulp-svgo": "^2.2.1",
                    "pump": "^3.0.0"
                }
            },
            [...],
            "node_modules/copy-props": {
                "version": "2.0.4",
                "resolved": "https://registry.npmjs.org/copy-props/-/copy-props-2.0.4.tgz",
                "integrity": "sha512-7cjuUME+p+S3HZlbllgsn2CDwS+5eCCX16qBgNC4jgSTf49qR1VKy/Zhl400m0IQXl/bPGEVqncgUUMjrr4s8A==",
                "dev": true,
                "dependencies": {
                    "each-props": "^1.3.0",
                    "is-plain-object": "^2.0.1"
                }
            },
    Unterhalb von Version 2.0.5 gäbe es aber die Sicherheitslücke "CVE-2020-28503 Prototype Pollution", sodass ein Update erfolgen muss.

    Nun habe ich aber außer in den "package-lock.json" nirgendwo eine Erwähnung von "copy-props" gefunden. Wo und wie kann ich Contao sagen, die auf Version 2.0.5 zu erhöhen? Oder sind diese lock-Dateien nur Überbleibsel von den Versionssprüngen? Wie kann ich prüfen, ob die noch relevant sind?

    Viele Grüße
    Boris

  2. #2
    Contao-Urgestein
    Registriert seit
    20.09.2012.
    Ort
    Lüneburger Heide
    Beiträge
    1.971
    Partner-ID
    12207
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hi,

    wenn Du nicht lange suchen möchtest, könntest Du die DB sowie composer.lock und composer.json sichern.
    Dann var/cache/prod löschen.
    Anschließend die composer.lock vom server löschen und dann ein composer update machen.

    Wenn das Problem dann noch besteht, müsste man weiter prüfen.

    Grüße
    Autodidakt und HobbyWebdesigner

    www.webdesign24.biz
    Screencasts zu Contao

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •