Potentielle XSS-Schwachstelle in #Contao entdeckt.

**ways2web** · 07.10.2011, 13:04

Potentielle XSS-Schwachstelle in #Contao entdeckt. #
Ein Patch ist hier verfügbar: http://dev.contao.org/issues/3524 Eine Update kommt nächste Woche.

Quelle : Leo Feyer - Twitter

//ShortURL durch LongURL ausgetauscht

**ATLAS** · 08.10.2011, 10:47

Hmmm, was soll man nun davon halten?
Ist es ein sicherheitsrelevantes Problem? Und für welche Versionen wäre der Patch anwendbar? Für alle, alte, oder nur neue Versionen?

**ways2web** · 08.10.2011, 11:19

was du davon hälst, vermag ich nicht zu beurteilen. Eine xss schwachstelle ist halt ein sicherheitsproblem.
Ich hab den Patch auf 2.93-2.9.5 anwenden können, in der neuen 2.10 hab ich nich reingeschaut. Aber da die 2.9 ja nich zum lts gehört, wirds zumindest dafür kein update geben.. denke ich.

gruss
olli

**ways2web** · 11.10.2011, 20:39

Ich stelle mal einen Patch für 2.8.1 zur Verfügung.
Verwendung auf eigene Gefahr.

**ciaobello** · 25.10.2011, 15:10

http://www.contao.glen-langer.de/Hacks.html

Anwendung auf eigene Gefahr. (Backup wie immer sinnvoll)

wurde hier erwähnt Contao 2.10.2 verfügbar

**Thomas** · 25.10.2011, 15:26

Ich gehe doch mal davon aus, dass mit 2.10.2 die Schwachstelle behoben wurde!

Bei dem Durcheinander, in diesem Thread, kann kaum einer erkennen ob das der Fall ist oder nicht!?
Und der Thread-Titel zwingt einen ja direkt mal zu lesen.

Also für Mitleser:
Die Schwachstelle ist mit der aktuell verfügbaren Version von Contao (2.10.2) behoben.
Ein Update von 2.10.<2 auf 2.10.2 wird dringend empfohlen.!

Ein Update von früheren Versionen <2.9.x auf 2.10.x sollte jeder für sich selber entscheiden, in Abhängigkeit der Funktion von Modulen.

Korrigiert mich, sollte das nicht so sein!

**BugBuster** · 25.10.2011, 15:37

Ja wurde sie: "Contao Version 2.10.2 ist verfügbar. Das Bugfix-Release behebt eine potentielle XSS-Schwachstelle und wird daher dringend empfohlen."

**ciaobello** · 25.10.2011, 21:50

Zitat von Thomas

Bei dem Durcheinander, in diesem Thread, kann kaum einer erkennen ob das der Fall ist oder nicht!?

Hallo Thomas,
genau wegen dem Durcheinander habe ich der Vollständigkeits halber mal die Themen verlinkt.
ich habe den Patch gesucht und nicht gefunden. Und die Suche hat mich nicht ans Ziel gebarcht

Wollte niemand verunsichern ;-)

ciaobello