Erneute Sicherheitslücke in Contao gefunden

**MacKP** · 04.04.2014, 16:57

Hier gehts zu den Infos von der CCA -> Neue Sicherheitslücke in Contao entdeckt: So könnt ihr schnell reagieren -> https://c-c-a.org/aktuelles/news/det...wurde-entdeckt

Viele Grüße

**contao.org** · 04.04.2014, 21:10

Heute Nachmittag wurde eine erneute Sicherheitslücke in Contao gefunden und leider direkt offengelegt, anstatt uns zunächst zu informieren und uns Zeit für die Veröffentlichung eines Patches zu geben.

Ganzen Beitrag zu 'Erneute Sicherheitslücke in Contao gefunden' lesen

**KlausGrenoble** · 04.04.2014, 21:23

http://forum.contao.fr/annonces-cont...ite-t3004.html

***Nina*** · 04.04.2014, 21:42

Ich habe die beiden Beiträge zusammengeführt und oben in die blaue Mitteilungsbox auch den Hinweis auf diese neue Sicherheitslücke verlinkt.

**Mr. Acylase** · 04.04.2014, 21:51

Hallo zusammen,
Wo kann ich nähere Infos über die Sicherheitslücke bekommen?

Grüße und Danke
Stefan

Gesendet von meinem Lenovo S6000L-F mit Tapatalk

**Mr. Acylase** · 04.04.2014, 22:29

Sorry, man sollte erst richtig lesen und dann fragen. Habs gefunden....

Gesendet von meinem Lenovo S6000L-F mit Tapatalk

**Sahel** · 05.04.2014, 00:34

Zitat von KlausGrenoble

http://forum.contao.fr/annonces-cont...ite-t3004.html

Danke an Klaus für die die Meldung im frz. Forum. Ich habe viele Kunden in francophonen Ländern und würde es begrüßen, wenn wichtige systemrelevante Nachrichten gewissermaßen standardmäßig in den diversen Länderforen gemeldet werden, damit alle Nutzer möglichst schnell reagieren können.
Wenn man/frau hierfür etwas beitragen kann bzgl. Organisation/Kommunkation, dann lasst es mich wissen.

Grüße,
Matthias

**elbec** · 05.04.2014, 09:07

Danke für die schnelle Reaktion und die Hinweise! Sehe ich das richtig, dass das Umbenennen der install.php nicht mehr ausreicht?

**Spooky** · 05.04.2014, 09:11

Zitat von elbec

Danke für die schnelle Reaktion und die Hinweise! Sehe ich das richtig, dass das Umbenennen der install.php nicht mehr ausreicht?

Damit erschwerst du es zwar, aber am sichersten ist es, wenn du sie einfach löschst. Im normalen Betrieb brauchst du sie ja nicht und sonst stellst du sie einfach ggf. wieder her aus dem Contao source.

**Thomas** · 05.04.2014, 10:54

Einfach die richtigen Rechte setzen, dann braucht man es auch nicht löschen.

**Flex** · 05.04.2014, 11:25

Nach dem Setzen der Rechte dringend prüfen ob es auch klappt...

Hatte heute zwei Kundenhostings deren Apache die Rechte überhaupt nicht interessiert hat und die trotzdem auslieferten.

**Thomas** · 05.04.2014, 11:41

Dann ist das aber eher eine (falsche) Serverkonfiguration und gut, dass dieser Umstand dadurch aufgedeckt wurde.

**tab** · 05.04.2014, 11:46

Wegen solchen Sachen bevorzuge ich in Sicherheitsfragen todsichere Lösungen, wo immer möglich. Einen Apache, der eine gelöschte Datei ausliefert, habe ich noch nie erleben müssen. Von Seiten im Cache mal abgesehen.

Allerdings, wenn ich sowas lese, dass ein Apache die Dateirechte ignoriert, dann schrillen bei mir die Alarmglocken. Da braucht es dann keine Sicherheitslücken in Contao mehr, um den Server zu kompromittieren.

**Spooky** · 05.04.2014, 12:07

Rechte entziehen wie im Beitrag auf c-c-a.org vorgeschlagen würde ich nicht empfehlen. Dadurch entzieht man sich evt. auch das Recht die Rechte wiederherzustellen

. Und ohne Auswege (Root-Access) muss man den Hoster kontaktieren um das wieder richtig zu stellen. Was sicher mehr Aufwand ist, als die install.php wieder hinauf zu laden.

Wenn dann nur die Lese-Rechte entziehen.

**andreasisaak** · 05.04.2014, 12:27

Der Vorschlag ist auf guten Hostern absolut legitim und auch nicht Vorschlag Nr. 1.

**tril** · 05.04.2014, 12:31

Zitat von Spooky

Rechte entziehen wie im Beitrag auf c-c-a.org vorgeschlagen würde ich nicht empfehlen. Dadurch entzieht man sich evt. auch das Recht die Rechte wiederherzustellen

. Und ohne Auswege (Root-Access) muss man den Hoster kontaktieren um das wieder richtig zu stellen. Was sicher mehr Aufwand ist, als die install.php wieder hinauf zu laden.

Wenn dann nur die Lese-Rechte entziehen.

Öh, das ist ziemlicher Blödsinn (sry für die Wortwahl), die Berechtigungen einer Datei zu ändern, hat nichts mit den Rechten, die man auf eine Datei hat zu tun, sondern mit den Rechten, die man auf das beinhaltende Verzeichnis hat. Du kannst ohne Probleme eine Datei mit einem chmod von 0000 löschen, solange du Schreibrechte auf das Verzeichnis hast

**Spooky** · 05.04.2014, 12:34

Stimmt, sorry. Ist wohl nur eine negative Erinnerung die schon länger her ist

. War wohl auch damals eher ein anderes Problem, wenn ich darüber nachdenke.

Auch das zurücksetzen der Rechte sollte eigentlich funktionieren, nicht nur das löschen.

**Thomas** · 05.04.2014, 16:15

Da schrillen bei mir nicht nur die Alarmglocken, da zweifel ich an dem Admin oder dem Anbieter.

**AgentK** · 05.04.2014, 18:54

Hey,

ich muss sagen, dass Problem hätten wir schon vor 2 Jahren (!!!) entkräften können.

Ich habe damals den Vorschlag geäußert, dass bereits bei der Installation automatisch ein Passwortschatz für das /contao Verzeichnis mit angelegt wird.

https://github.com/contao/core/issues/3892

Leider wurde das Ticket nie umgesetzt

Stefan

**KlausGrenoble** · 05.04.2014, 21:11

http://www.contaocms.it/forum/topic/664.html

**MacKP** · 06.04.2014, 00:10

@KlausGrenoble,
wenn du solche Verlinkungen machst, könntest du auch noch bitte eben kurz schreiben warum oder was der Inhalt ist? Ich kann kein Französisch und frag mich dann an so einer Stelle, was das denn nun für wichtige Informationen enhält, das es hier verlinkt werden muss.
An sich ist es ja gut, das du versuchst die Foren zu verbinden... aber mach das doch bitte Transparent ;-)

Viele Grüße

**KlausGrenoble** · 06.04.2014, 00:42

@MacKP: Hast recht. Reine Faulheit. Ausserdem war das in diesem Fall italienisch. Aber viel ist in diesem Forum (noch) nicht los.

**ciaobello** · 06.04.2014, 00:55

Zitat von MacKP

...aber mach das doch bitte Transparent ;-)...

Voila:

Zitat von Translate.google.com

! ! ! Neue Sicherheitslücke! ! !
Aus diesem Grund empfehlen wir, dass Sie die Datei Contao / install.php löschen oder vollständig blockieren mit chmod 000.
Zustand: kritisch! Dieser Fehler ermöglicht es Ihnen, beliebigen Code auf dem Server (Ausführung von beliebigem Code / Ausführen beliebigen Codes) betrieben.
Grüße Klaus

Mit meinen intalienisch kenntnissen würde ich sagen ... inhaltlich korrekt und verständlich

**MacKP** · 06.04.2014, 01:13

Danke, mir hätte auch gereicht, wenn da gestanden hätte: News übersetzt in Sprache xy ;-)
Das ist dann auch nicht so viel arbeit ^^

Viele Grüße

**tril** · 06.04.2014, 08:57

Zitat von AgentK

ich muss sagen, dass Problem hätten wir schon vor 2 Jahren (!!!) entkräften können.

Ich habe damals den Vorschlag geäußert, dass bereits bei der Installation automatisch ein Passwortschatz für das /contao Verzeichnis mit angelegt wird.

https://github.com/contao/core/issues/3892

Den Vorschlag würde ich grundsätzlich unterstützen, ich muss dir aber leider sagen, dass ist nur die Spitze des Eisberges. Außerdem, wenn es optional ist, werden es vermutlich gerade Anfänger nicht machen

EDIT: Und im übrigen ist das nur Symptombehandlung, keine Ursachenbehandlung und so was mag ich überhaupt nicht

**Kater** · 06.04.2014, 09:25

Nur mal so als Laie gefragt: Wäre es eine Idee, bei der Installation den Pfad zum Backend einstellbar zu machen, so dass er nicht immer fix auf /contao steht? Es würde doch automatische Angriffe (Liste von Domains via wget per Script abklappern) deutlich erschweren, wenn man ins Backend z.B. über http://www.domain.tld/irgendeinekrum...henkombination käme?

Natürlich ersetzt das keinen Bugfix, aber es wäre doch eine weitere Schutzschicht - oder nicht?

**tril** · 06.04.2014, 09:51

Zitat von Kater

Natürlich ersetzt das keinen Bugfix, aber es wäre doch eine weitere Schutzschicht - oder nicht?

http://de.wikipedia.org/wiki/Security_through_obscurity

Das Prinzip ist sehr umstritten, so rät das National Institute of Standards and Technology (NIST) Sicherheitssysteme nicht auf dieser Basis zu konzipieren: “System security should not depend on the secrecy of the implementation or its components.”[2]

Auf diesem Prinzip beruhende Systeme sind intransparent für dessen Anwender und damit wenig geeignet Vertrauen in Sicherheit zu schaffen: „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“

Kurz gesagt: Nein!

**Kater** · 06.04.2014, 10:03

Zitat von tril

http://de.wikipedia.org/wiki/Security_through_obscurity

Kurz gesagt: Nein!

Ich meinte es nicht im Sinne von "depend on the secrecy of the implementation" (also Obscurity als Basiskomponente der Sicherheit), sondern eben nur als eine zusätzliche Schicht für den Fall, dass in der Implementation eine Sicherheitslücke besteht (was man ja nie 100% ausschließen kann), die sich dann eben weniger leicht automatisiert ausnützen ließe.

**tril** · 06.04.2014, 10:14

Zitat von Kater

Ich meinte es nicht im Sinne von "depend on the secrecy of the implementation" (also Obscurity als Basiskomponente der Sicherheit), sondern eben nur als eine zusätzliche Schicht für den Fall, dass in der Implementation eine Sicherheitslücke besteht (was man ja nie 100% ausschließen kann), die sich dann eben weniger leicht automatisiert ausnützen ließe.

Aus Sicht der Sicherheit gibt es keinen Unterschied, letztlich nützt es keinem und verwirrt nur den Kunden, wenn der sich jetzt plötzlich über example.com/wasweißich/ anmelden muss, anstelle von example.com/contao/

Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.

Ich finde der Satz sagt alles, egal ob als Schicht oder als komplette Sicherung, es bleibt ein Prinzip, dass keine Vorteile bietet.

**Thomas** · 06.04.2014, 10:44

Ein Passwortschutz per .htaccess!?

Sorry, aber das ist eine Sache von 30 Sekunden, so etwas von Hand zu realisieren, dazu, finde ich, benötigt es keine Hilfestellung von Contao.

Ich möchte mal eine Lanze für andere Serverdienste brechen, die nicht mit .htaccess können (nginx, cherokee, lighttpd, Windoofs usw.) . Diese System sind es schon Wert, mal über den Tellerrand zu schauen.

Viele Anbieter von Webhosts bieten zudem die Möglichkeit über die Adminoberfläche einen Verzeichnisschutz zu integrieren, das dauert noch weniger als 30 Sekunden.

Damit wir uns nicht falsch verstehen, ich habe generell nichts gegen einen Verzeichnisschutz, meinetwegen auch per .htaccess, nur sollte man dabei die unterschiedlichen Server-Dienste beachten.

Vielleicht habe ich aber auch einfach nur einen anderen Anspruch, was (Server-)Administratoren angeht.

Ein Verschleierung kann niemals als Schutz angesehen werden, es dient lediglich dazu etwas zu erschweren, kann aber in Verbindung mit anderen Lösungen recht wirkungsvoll sein.
Wir sind uns ja alle darüber im Klaren, dass es keinen 100%igen Schutz geben wird.

**tril** · 06.04.2014, 10:48

Zitat von Thomas

Ich möchte mal eine Lanze für andere Serverdienste brechen, die nicht mit .htaccess können (nginx, cherokee, lighttpd, Windoofs usw.) . Diese System sind es schon Wert, mal über den Tellerrand zu schauen.

Gerade auch deshalb muss das System einfach Sicher sein und keine Obscurity oder "einfach zusätzliche Sicherheitslayer" eingeführt werden. Ich sehe in dem .htaccess Schutz keinen Vorteil (eher im Gegenteil, allerdings rein Organisatorisch, nicht technisch), würde aber eine "Hilfestellung" diesen im Installtool einrichten zu können jetzt nicht grundsätzlich ablehnen.

**peter.fl** · 06.04.2014, 12:12

Hallo Thomas

Viele Anbieter von Webhosts bieten zudem die Möglichkeit über die Adminoberfläche einen Verzeichnisschutz zu integrieren, das dauert noch weniger als 30 Sekunden.

Welches Verzeichnis/welche Verzeichnisse soll ich/muss man schützen?

Ein Passwortschutz per .htaccess!?
Sorry, aber das ist eine Sache von 30 Sekunden, so etwas von Hand zu realisieren, dazu, finde ich, benötigt es keine Hilfestellung von Contao.

Ich benötige vermutlich einiges mehr als 30 Sekunden

Trotzdem: In welchem Verzeichnis/welchen Verzeichnissen soll ich/muss man einen Passwortschutz mit .htaccess einrichten - gleich wie oben?

**ChrMue** · 06.04.2014, 13:41

Es behebt zwar auch nicht die ursächlichen Fehler, aber vielleicht wäre folgendes hilfreich:
a)
Link am Ende des Installscripts, über den man die install.php löschen kann.

b)
Hinweis im Header des Backends (bei Adminrechten) um darauf hinzuweisen, dass die Install.php noch existiert und gelöscht oder abgesichert werden sollte.
(könnte so aussehen wie der Hinweis auf den abgesicherten Modus oder den Wartungsmodus)

Gruß
ChrMue

**magicsepp** · 06.04.2014, 13:50

Zitat von peter.fl

...In welchem Verzeichnis/welchen Verzeichnissen soll ich/muss man einen Passwortschutz mit .htaccess einrichten - gleich wie oben?

Es geht um das contao Verzeichnis indem die install.php liegt.

Einfach umbenennen geht noch schneller....

**the_scrat** · 06.04.2014, 14:01

Zitat von magicsepp

Einfach umbenennen geht noch schneller....

Und wie loggst du dich dann bitte ins Backend ein?

***lucina*** · 06.04.2014, 14:11

install.php != index.php

**magicsepp** · 07.04.2014, 07:43

Zitat von the_scrat

Und wie loggst du dich dann bitte ins Backend ein?

mit Benutzername und Passwort

**the_scrat** · 07.04.2014, 07:45

Zitat von magicsepp

mit Benutzername und Passwort

Hatte deinen Satz falsch verstanden, dachte du wolltest das Verzeichnis umbenennen.

**magicsepp** · 07.04.2014, 08:00

achso, nein es geht nur um die Datei install.php im Unterverzeichnis contao in einer Installation

**Samson1964** · 07.04.2014, 08:50

Zitat von tril

http://de.wikipedia.org/wiki/Security_through_obscurity

Danke für den Link! Ich hatte meine install.php's einfach nur umbenannt, was dann wohl der "Sicherheit durch Unklarheit" entspricht und der falsche Weg ist. Jetzt werde ich sie löschen.