Directory-Traversal in der Dateiverwaltung

[contao.org]

Datum: 25.04.2023
CVE-ID: CVE-2023-29200
Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten.


Weiterlesen...

[spacefront]

Danke für die Info.

Nur zu meinem Verständnis.
Man muss in BE angemeldet sein und schon etwas versierter in der Anwendung und im Computerverständis.

Der "normale" Anwender schafft das nicht so ohne weiters und wenn kann er auch nichts machen. (Ich hätte jetzt auf die schnelle auch nicht so die Idee wie ich das schaffen kann

Oder verstehe ich das falsch.

Viele Grüße und bis in einer Woche

Alex

[WebRoxx]

Eine Lücke bleibt eine Lücke Mehr gibt es dazu eigentlich nicht zu sagen...

[spacefront]

Das stimmt natürlich.

ich würde es nur gerne verstehen - und ich traue es keinem meiner Kunden zu bzw. mache die hälfte der Änderungen.

Daher macht es für mich schon einen kleinen unterschied ob jedes Skript Kid mit einem Zweizeiler etwas anstellen kann oder ob man schon mehr Kenntnisse braucht.

[mlweb]

Reicht ja das jemand bei einem Deiner unbedarften Nutzer den vorhandenen Backendzugang knackt/stiehlt.

[Spooky]

und ich traue es keinem meiner Kunden zu bzw. mache die hälfte der Änderungen.

Die Kunden wollen wohl kaum das eigene System hacken.

[neelix]

Danke für die Info.

Nur zu meinem Verständnis.
Man muss in BE angemeldet sein und schon etwas versierter in der Anwendung und im Computerverständis.

Der "normale" Anwender schafft das nicht so ohne weiters und wenn kann er auch nichts machen. (Ich hätte jetzt auf die schnelle auch nicht so die Idee wie ich das schaffen kann

Oder verstehe ich das falsch.

Viele Grüße und bis in einer Woche

Alex

So verstehe ich das auch.

Auch meine Einschätzung lautet: Nicht alles wird so heiß gegessen, wie es gekocht wird.

Bei Seiten, wo die Backend-Zugänge vernünfig abgesichert sind (2FA, ggf. nur von bekannten IPs erreichbar), reicht es wohl das Update im regulären Zyklus einzuspielen.

Ja, man kann Dateien außerhalb der Dateiverwaltung (also des Files-Ordners) abrufen. Bei einem sauber konfiguriertem Webhosting sollte ich da aber nicht allzuweit kommen.

Da ist der Gag, den Strato sich leistet eindeutig besser.

[Spooky]

Ja, man kann Dateien außerhalb der Dateiverwaltung (also des Files-Ordners) abrufen.

auflisten - den Inhalt bekommst du nicht.

[neelix]

D.h. ich bekomme sogar nur ein Directorylisting und noch nichtmal den Inhalt?

Das habe ich aus der Meldung anders verstanden. So verstehe ich erst recht nicht, warum dann so ein Wirbel gemacht wurde.

Dann ist das für mich ein normaler Fehler.

[WebRoxx]

D.h. ich bekomme sogar nur ein Directorylisting und noch nichtmal den Inhalt?

Das habe ich aus der Meldung anders verstanden. So verstehe ich erst recht nicht, warum dann so ein Wirbel gemacht wurde.

Dann ist das für mich ein normaler Fehler.

verstehe auch den wirbel nicht wenn autos zurückgerufen werden weil es sein kann "das was passiert" aber nicht muss

Wenn ihr kunden habt macht einfach das update, wenn ihr es privat nutzt lasst es halt... das update / fix ist nun kein hexenwerk wie ne umstellung von contao 3 auf contao 4

[Spooky]

Das habe ich aus der Meldung anders verstanden.

Siehe https://community.contao.org/de/show...l=1#post572032

Datum: 25.04.2023
CVE-ID: CVE-2023-29200
Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten.

Weiterlesen...

[Toflar]

D.h. ich bekomme sogar nur ein Directorylisting und noch nichtmal den Inhalt?

Das habe ich aus der Meldung anders verstanden. So verstehe ich erst recht nicht, warum dann so ein Wirbel gemacht wurde.

Dann ist das für mich ein normaler Fehler.

Dateinamen können ebenfalls vertrauliche Informationen enthalten. Z.B.

Code:

scheidung_kevin_und_chantal_jones.csv

Deswegen ist das definitiv eine Sicherheitslücke.
Sonst hätten wir das im Core-Team sicher auch anders entschieden - ein Sicherheitsupdate ist nämlich verdammt viel Aufwand für uns.
Macht einfach ein Update und gut ist, danke