Sicherheitsupdates am 25. April 2023

**contao.org** · 14.04.2023, 08:40

Am Dienstag, den 25. April 2023, werden wir Sicherheitsupdates für Contao 4.9, 4.13 und 5.1 veröffentlichen.

Ganzen Beitrag zu 'Sicherheitsupdates am 25. April 2023' lesen

**neelix** · 14.04.2023, 09:31

Hallo,

es ist zwar schön, dass ihr das Update ankündigt. Noch besser fände ich es aber, wenn mit der Ankündigung auch beschrieben würde, wo das Problem ist und was man ggf. bis zur Veröffentlichung als Gegenmaßnahme unternehmen sollte, sofern möglich.

Die Lücke, oder was auch immer es ist, ist ja. Dann darf man auch offen drüber reden. Und wenn einer sie gefunden hat, dann werden sie auch andere finden. Verstecken bringt also nichts.

Gruß

Neelix

**do_while** · 14.04.2023, 09:55

Da solltest Du etwas Geduld haben, bis das Core-Team seine Arbeit gemacht und geprüft hat (Danke dafür!). Wenn man die betroffenen Version ansieht, scheint es die Lücke schon seit einigen Jahren zu geben ... und keiner hat sie gefunden.
Eine Diskussion über Details würde jetzt u.U. Hinweise geben, wo man suchen könnte, das halt ich für nicht klug, das würde die Situation eher kritischer machen.

**cliffparnitzky** · 14.04.2023, 10:10

Zitat von neelix

Hallo,

es ist zwar schön, dass ihr das Update ankündigt. Noch besser fände ich es aber, wenn mit der Ankündigung auch beschrieben würde, wo das Problem ist und was man ggf. bis zur Veröffentlichung als Gegenmaßnahme unternehmen sollte, sofern möglich.

Die Lücke, oder was auch immer es ist, ist ja. Dann darf man auch offen drüber reden. Und wenn einer sie gefunden hat, dann werden sie auch andere finden. Verstecken bringt also nichts.

Gruß

Neelix

Eieiei. Meinst nicht, dass das Vorgehen wirklich gute Gründe haben könnte und gar nix mit Verschleierung und Desinformation zu tun hat?

**neelix** · 14.04.2023, 10:10

Das "de Maizière'sche Prinzip" ("Ein Teil dieser Antworten würde die Bevölkerung verunsichern") ist auch kein guter Ansatz.
Dann lieber erst verkünden, wenn das Update auch fertig ist.

Lenovo hat die Tage auch verkündet, dass sie auf bestimmten Serien einen kritischen Bug im UEFI haben. Die Updates aber erst für August angekündigt. Jetzt fragt sich natürlich jeder, warum das so lange dauert.

**neelix** · 14.04.2023, 10:21

Zitat von cliffparnitzky

Eieiei. Meinst nicht, dass das Vorgehen wirklich gute Gründe haben könnte und gar nix mit Verschleierung und Desinformation zu tun hat?

Es mag ein Vorteil sein, dass Contao nicht so weit verbreitet ist wie ein Typo3 oder gar ein WordPress. Bei Typo3 bekomme ich es selbst mit: Wenn dort eine Lücke besteht, dann wird diese behoben und dann das Update angekündigt. Wenn das nicht sofort möglich ist, dann steht in der Ankündigung, worauf man ggf. eine Auge haben sollte und/oder mit welchem Workaround man die Gefahr eindämmmen kann.

Darauf kann man ggf. seine WAF anpassen und/oder das SIEM trainieren.

**bjarke** · 14.04.2023, 10:38

Warum gibt es eine Vorankündigung?
Damit sich die Leute den Tag für eine zeitnahe Aktualisierung freischaufeln können.

Warum wird nicht auf die Lücke eingegangen?
Weil verhindert werden soll, dass die Lücke von angreifenden im Vorfeld ausgenutzt werden kann.

Warum dauert es so lange?
Weil eine Sicherheitslücke nicht per Knopfdruck geschlossen werden kann. Nachdem eine Sicherheitslücke erkannt oder gemeldet worden ist, muss das Core-Team eine Lösung erarbeiten, in diesem Fall für drei Contao-Versionen. Folgender Prozess wird dabei durchlaufen.

Was kannst du machen?
Freue dich darüber, dass dir Leute die du nicht kennst, zeitnah die Sicherheitslücke schliessen und transparent damit umgehen.

**neelix** · 14.04.2023, 12:54

Warum wird nicht auf die Lücke eingegangen?
Weil verhindert werden soll, dass die Lücke von angreifenden im Vorfeld ausgenutzt werden kann.

Und jetzt haben X Installationen eine Lücke, bei der aber kein Betreiber prüfen kann, ob sie bei ihm vllt. nicht schon ausgenutzt wurde. Denn wenn einer die Lücke gefunden hat, heißt das nicht, dass sie nicht auch ein anderer gefunden hat und bereits für seine Zwecke genutzt hat.

Microsoft kündigt seine Sicherheitsupdates auch vorab an, in dem Bulletin steht dann aber dabei, wie man feststellen ob man betroffen war/ist. Im schlimmsten Fall muss man dann auch mal ein System offline nehmen, bis der Flicken da ist.

**do_while** · 14.04.2023, 13:53

Die Lücke wäre doch in jedem Fall jetzt noch offen solange noch kein Fix existiert, ob Du jetzt davon erfahren hast oder nicht.
Dir wurde lediglich mitgeteilt, dass Du ggf. am 25.4. etwas Zeit einplanen solltest, damit Du sehr zeitnah nach der Veröffentlichung des Fix reagieren kannst.

Ich vermute mal (ohne Details zu kennen), dass die Lücke schon sehr komplex ist, denn sonst hätte das Team vorgeschlagen, z.B. solange die Logins zu sperren oder ähnliches.

**neelix** · 14.04.2023, 14:09

So hätte das Update aber auch einfach veröffentlicht werden können. Die Ankündigung ändert da nichts.

Vllt. ist eine Installation ja auch gar nicht betroffen und man macht den Kunden umsonst verrückt.

Ohne Informationen kann man das nicht einschätzen.

Vllt. ist sie aber auch so kritisch, dass man Contao sofort abschalten müsste.
Vllt. wird die Lücke bereits ausgenutzt, nur weiß es keiner.

Ohne Informationen kann man das nicht einschätzen.

Es müssen ja keine Details dabei sein, aber ein paar Infos wo das Problem liegt und zu was es führen kann, wären hilfreich.

So müsste ich dem Kunden jetzt sagen: Plane ein Wartungsfenster ein, da kommt ein Update. Wofür und wogegen, weiß ich nicht.

Und je nach Prozess muss das erstmal durch Dev und Testing, bis es dann in Prod landet.

**derRenner** · 14.04.2023, 14:38

Achtung folgender Absatz könnte Sarkasmus beinhalten ...
[sarkasmus]
Stelle den thread auf 'ungelesen' und ignoriere ihn im Anschluss. Damit kannst du so tun, als hättest du nix gewusst von einem möglichen Update und kannst ruhig weiterschlafen bis zum 25.April 2023. Wenn das Update dann rauskommt, dann tu mal besonders 'überrascht' und mach dich ans Tageswerk. Informiere auch erst dann deine Kunden und teile ihnen mit, dass sie sich ein Wartungsfenster einplanen sollen - denn nun kannst du ja auch bereits abschätzen, wie hoch denn der Aufwand dafür sein sollte. Und kannst sie informieren, ob bzw. was an den jeweiligen Installationen betroffen ist.
[/sarkasmus]

Ich halte es so wie @bjarke:
ich bin über jede Information froh, die einem zugesteckt wird. Und ich bin noch froher, dass es auch ein AKTIVES Team gibt, das sich dieser Problematiken AKTIV annimmt und - nun ja - eigenlicht nix dafür kassiert!

Und aus eigener Erfahrung weiss ich, dass Gut Ding Auch Weile Braucht.
Vielen herzlichen DANK ans Core-Team!!