Contao Version 3.5.15 ist verfügbar. Das Bugfix-Release schließt eine XSS-Sicherheitslücke im Plugin mediaelement.js.
Ganzen Beitrag zu 'Contao 3.5.15 verfügbar' lesen
Contao Version 3.5.15 ist verfügbar. Das Bugfix-Release schließt eine XSS-Sicherheitslücke im Plugin mediaelement.js.
Ganzen Beitrag zu 'Contao 3.5.15 verfügbar' lesen
Hallo zusammen
kleine Frage:
genügt es, wenn ich auf die schnelle in einer 3.2.21 Contaoinstallation das Mediaelement 2.13.1 mit dem neuen auswechsle oder besteht die Lücke erst ab einer späteren Version?
Oder macht die neue Mediaelement-Version probleme mit einer älteren Contao-installation?
weiss das jemand?
Vielen Dank für ein Feedback
Christian
Hi,
so steht´s auf contao.org.Sollte ein Update nicht möglich sein, sollte zumindest das Plugin mediaelement.js, das sich im Ordner assets/jquery/mediaelement befindet, aktualisiert werden. Die Sicherheitslücke wurde in Version 2.21.1 geschlossen.
Gruß
tschero
danke
das habe ich gelesen, war mir aber nicht sicher ob das grundsätzlich für alle Versionen giltet
probieren geht über studieren
thx
Auch ich bin mir unsicher über das korrekte Vorgehen:
Den in der aktuellen Contao Version (3.5.15) in assets/jquery/mediaelement/ liegenden Ordner mit Versionsnamen (2.12.2) habe ich auf dem Server in den Ordner assets/jquery/mediaelement/ hochgeladen. Dort liegt dieser Ordner nun neben einem oder mehreren Ordnern mit älteren Versionsnamen (z.B.: 2.19.0.1)
Was ist zu tun, dass die in dem Ordner mit dem aktuellen Versionsnamen liegenden Dateien verwendet werden?
A. Systemwartung > Scriptcache leeren?
B. Ordner mit älteren Versionsnamen löschen?
C. Weder A. noch B., sondern .........?
Vielen Dank für Aufklärung und Hinweise!
Dazu musst du die system/config/constants.php anpassen, dort die Zeile mit dem Mediaelement muss dann so lauten:
PHP-Code:
define('MEDIAELEMENT', '2.21.2');
Erklärung: diese Angabe wird verwendet um das gleichnahmige Verzeichnis zu nehmen beim laden.
Geändert von BugBuster (18.07.2016 um 18:16 Uhr)
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Damit Contao von der neuen Version "weiss", muss außerdem zumindest die Datei system/config/constants.php ausgetauscht werden. Da steht auch die Contao Versionsnummer drin -- Deine Installation wird Dir danach als 3.5.15 angezeigt.
Was spricht dagegen, das ganze Installationspaket "drüber zu bügeln"? Auf der Konsole ist das mit curl ja schnell runtergeladen und ausgepackt.
Contao-Community-Treff Bayern: http://www.contao-bayern.de
oder meine Update ZIP, da ist nur drin was sich ändert. (nicht nur Medialement)
http://ea3server.contao.ninja/updates.html
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Vielen Dank für die schnellen Antworten und Tipps,
in einer Contao 3.5.12 Installation ohne Erweiterungen funktioniert die Lösung mit dem anpassen der system/config/constants.php bei mir bisher nicht, Contao sucht immer noch nach der älteren Version (hier 2.19.0.1), da ich diesen Ordner testhalber umbenannt habe in 2.19.0.1-bak, erhalte ich eine Fehlermeldung. Im error.log steht:
PHP-Code:
[15-Jul-2016 20:19:27 Europe/Berlin]
PHP Warning: filemtime(): stat failed for /www/htdocs/...../assets/jquery/mediaelement/2.19.0.1/css/mediaelementplayer.min.css in /www/htdocs/...../system/modules/core/library/Contao/Controller.php on line 799
#0 [internal function]: __error(2, 'filemtime(): st...', '/www/htdocs/w00...', 799, Array)
#1 /www/htdocs/...../system/modules/core/library/Contao/Controller.php(799): filemtime('/www/htdocs/w00...')
#2 /www/htdocs/...../system/modules/core/classes/FrontendTemplate.php(102): Contao\Controller::replaceDynamicScriptTags('<!DOCTYPE html>...')
#3 /www/htdocs/...../system/modules/core/pages/PageRegular.php(190): Contao\FrontendTemplate->output(true)
#4 /www/htdocs/...../system/modules/core/controllers/FrontendIndex.php(285): Contao\PageRegular->generate(Object(Contao\PageModel), true)
#5 /www/htdocs/...../index.php(20): Contao\FrontendIndex->run()
#6 {main}
[15-Jul-2016 20:19:27 Europe/Berlin] PHP Fatal error: Uncaught exception 'Exception' with message 'File assets/jquery/mediaelement/2.19.0.1/css/mediaelementplayer.min.css does not exist' thrown in /www/htdocs/...../system/modules/core/library/Contao/Combiner.php on line 134
#0 /www/htdocs/...../system/modules/core/library/Contao/Controller.php(802): Contao\Combiner->add('assets/jquery/m...', false, NULL)
#1 /www/htdocs/...../system/modules/core/classes/FrontendTemplate.php(102): Contao\Controller::replaceDynamicScriptTags('<!DOCTYPE html>...')
#2 /www/htdocs/...../system/modules/core/pages/PageRegular.php(190): Contao\FrontendTemplate->output(true)
#3 /www/htdocs/...../system/modules/core/controllers/FrontendIndex.php(285): Contao\PageRegular->generate(Object(Contao\PageModel), true)
#4 /www/htdocs/...../index.php(20): Contao\FrontendIndex->run()
#5 {main}
Auch kann ich mir dann mit:
keine Fehlermeldungen anzeigen lassenPHP-Code:
$GLOBALS['TL_CONFIG']['displayErrors'] = true;
Irgendetwas scheine ich als noch unberücksichtigt zu lassen, so dass noch der veraltete Ordner gesucht wird. Zugriff auf die Konsole habe ich nicht, kenne mich auch mit cURL bisher nicht aus. Mir sind die diversen Möglichkeiten für ein Update bekannt, ich fände es lediglich elegant nur einige Daten auszutauschen um diesen Teil zu aktualisieren.
Wie könnte man hier weiter vorgehen? Hat noch jemand vielleicht Tipps und Hinweise?
Geändert von 3dr (15.07.2016 um 20:03 Uhr)
Du hast mehrere Antworten bekommen. Was ist jetzt "diese Lösung" (die nicht funktioniert)?
Contao-Community-Treff Bayern: http://www.contao-bayern.de
Ja stimmt, sorry, ich hatte mich hier nicht klar ausgedrückt und das gerade geändert: Bei mir funktioniert die Lösung mit dem anpassen der system/config/constants.php bisher nicht.
wenn Contao noch versucht, alte Versionen einzubinden -- also die aktualisierten Dateien nicht berücksichtigt würde ich spontan auf "Cache leeren" tippen. Was passiert danach?
Contao-Community-Treff Bayern: http://www.contao-bayern.de
Ich habe unter Systemwartung alle Jobs ausgewählt und "Daten bereinigen" lassen, sowie den Browsercache geleert, keine Änderung, das steht im error.log:
Als Workaround kann ich natürlich mit der aktuellen mediaelement.js einfach an richtiger Stelle die mediaelement.js in der älteren Version überschreiben, aber ich fände es anders übersichtlicher und würde auch gerne den Fehler finden um so dazuzulernen.PHP-Code:
[15-Jul-2016 20:19:27 Europe/Berlin]
PHP Warning: filemtime(): stat failed for /www/htdocs/ordner/ordner/assets/jquery/mediaelement/2.19.0.1/css/mediaelementplayer.min.css in /www/htdocs/ordner/ordner/system/modules/core/library/Contao/Controller.php on line 799
#0 [internal function]: __error(2, 'filemtime(): st...', '/www/htdocs/w00...', 799, Array)
#1 /www/htdocs/ordner/ordner/system/modules/core/library/Contao/Controller.php(799): filemtime('/www/htdocs/w00...')
#2 /www/htdocs/ordner/ordner/system/modules/core/classes/FrontendTemplate.php(102): Contao\Controller::replaceDynamicScriptTags('<!DOCTYPE html>...')
#3 /www/htdocs/ordner/ordner/system/modules/core/pages/PageRegular.php(190): Contao\FrontendTemplate->output(true)
#4 /www/htdocs/ordner/ordner/system/modules/core/controllers/FrontendIndex.php(285): Contao\PageRegular->generate(Object(Contao\PageModel), true)
#5 /www/htdocs/ordner/ordner/index.php(20): Contao\FrontendIndex->run()
#6 {main}
[15-Jul-2016 20:19:27 Europe/Berlin] PHP Fatal error: Uncaught exception 'Exception' with message 'File assets/jquery/mediaelement/2.19.0.1/css/mediaelementplayer.min.css does not exist' thrown in /www/htdocs/ordner/ordner/system/modules/core/library/Contao/Combiner.php on line 134
#0 /www/htdocs/ordner/ordner/system/modules/core/library/Contao/Controller.php(802): Contao\Combiner->add('assets/jquery/m...', false, NULL)
#1 /www/htdocs/ordner/ordner/system/modules/core/classes/FrontendTemplate.php(102): Contao\Controller::replaceDynamicScriptTags('<!DOCTYPE html>...')
#2 /www/htdocs/ordner/ordner/system/modules/core/pages/PageRegular.php(190): Contao\FrontendTemplate->output(true)
#3 /www/htdocs/ordner/ordner/system/modules/core/controllers/FrontendIndex.php(285): Contao\PageRegular->generate(Object(Contao\PageModel), true)
#4 /www/htdocs/ordner/ordner/index.php(20): Contao\FrontendIndex->run()
#5 {main}
Dann ändere mal das auch noch:
./system/modules/core/config/config.php
ganz unten das Array anpassen:
Und wieder Cache löschen danach.PHP-Code:
'MEDIAELEMENT' => '2.21.2',
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
@BugBuster, mit Umsetzung deines Hinweises funktioniert das jetzt bei mir. Bei allen die mir hier geholfen haben bedanke ich mich sehr für die investierte Zeit und das Engagement.
Hallo zusammen,
ich frage mich gerade, ob die Mediaelement Erweiterung auch dann angreifbar ist, wenn man sie nicht in Contao eingebunden hat, also sie auch nicht verwendet... Muss das Verzeichnis mit der angreifbaren Mediaelement Version also auf jeden Fall komplett vom Server gelöscht werden?
mit besten Grüßen : Joc
Soweit ich das verstehe ist es nur dann relevant, wenn mediaelement.js in deiner Contao Seite eingebunden ist (sprich, wenn du das entsprechende Template im Seitenlayout ausgewählt hast). Ist das der Fall, und du hast deine Contao Installation nicht aktualisiert, können Andere deine Website dazu ausnutzen, anderen Usern zu Schaden.
Vielen Dank für die Antwort! Das wäre ja prima, wenn dem so wäre. Vor allem wenn man, wie ich, noch einige wenige Kunden mit recht alten Contao Versionen mit z.B. 2.11.17 (inkl. hotfix) hat, bei denen - aus welchen Gründen auch immer - ein CMS Update nicht möglich ist und die aktuelle Medialement Version eventuell nicht mit diesen alten CMS-Versionen kompatibel ist.
Gibt es vielleicht irgendwo genauere Infos dazu? Habe bisher leider nicht viel dazu gefunden.
Edit: In Contao 2.11.17 zumindest gab es mediaelement wohl noch nicht und auch jquery nicht "von Haus aus".
Geändert von joc (18.07.2016 um 16:37 Uhr)
Hello @all
irgendwie stehe ich auch gerade auf dem Schlauch was ältere Installationen (2.11.x) und das manuelle "fixen" der Sicherheitslücke anbelangt. Sollte ich was überlesen habe, was schon erklärt wurde dann bitte ich das zu entschuldigen
Ich habe Installation unter 2.11 (jaaaaa ich weiß - soll man nicht , ist aber so *fg) und ich habe Installationen unter 3.0 - 3.5. Bis auf ganz wenige Installationen kommt ein komplettes Update auf die 3.5.15 nicht in Frage.
Daher würde mich folgendes interessieren:
:: Betrifft das alle Contao-Installationen oder nur ab einer bestimmten Version?
:: Wie kann ich bei einer älteren Contao-Installation das manuelle Update machen? Also woher bekomme ich die "saubere" Datei mediaelement.js
:: Welche Dateien müssen bei einem Update möglicherweise noch beachtet werden?
Wie gesagt, vielleicht stelle ich hier eine bereits schon beantwortete Frage - aber irgendwie peile ich hier die Antworten nicht bzw. löse damit meine Frage nicht.
Vielen Dank für eure Hilfe
Viele Grüße aus dem Süden
creativx
---- Planung ist Ersatz des Zufalls durch den Irrtum ----
Soweit ich mich erinnere, hatte Contao 2.x noch kein jQuery an Board, also auch nicht das mediaelement.
Es sei denn, Ihr habt jQuery irgendwie selbst hinzugefügt oder über die damals angebotene Erweiterung genutzt, dann solltet Ihr auch da wachsam sein.
stimmt...
danke für den Tip! Das reduziert die Summe der betroffenen Installationen schon mal
Dann wäre nur noch interessant wie es sich mit den Versionen ab 3.0 verhält....
Viele Grüße aus dem Süden
creativx
---- Planung ist Ersatz des Zufalls durch den Irrtum ----
Hallo Bugbuster,
verstehst Du, warum die Angaben der Versionsnummern in den Konstanten definiert werden und dann trotzdem noch einmal in anderen Dateien?
Ich hatte gerade nämlich das gleiche Problem, dass ich davon ausgegangen bin, die Version müsste nur zentral in der constants.php eingestellt werden und habe dann Fehlermeldungen im Frontend erhalten, dass das System immer noch nach der alten Version verlangt (trotz Cachelöschen).
Danke uund Grüße,
juju
Jetzt im Nachhinein denke ich mal, die Konstanten zeigen welche Versionen der einzelnen Teile Bestandteil von Contao sind.
Die Variablen werden für die Pfade genutzt. Da diese geändert werden können, kann man eben dadurch andere Versionen nutzen.
Die man übrigens auch in der localconfig.php überschreiben kann bzw. sollte.
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Hallo,
ich würde das gern nochmal aufgreifen, denn das ist ja ein ganz zentraler Punkt!
Betrifft das Problem also wirklich nur Installationen, in denen das Plugin auch explizit geladen wird oder könnte man auch ansonsten über den Dateipfad Schadcode einschleusen? Ich kann mir das zwar nicht so richtig vorstellen, aber vielleicht / hoffentlich andere hier besser! Ich wäre jedenfalls sehr beruhigt, wenn das noch jemand bestätigen würde, denn bei mir sind es auch einige < 3.5.x Installationen, die ich nicht mal eben auf die aktuelle Version bringen könnte.
Danke für Feedbacks & Gruß!
Hallo Bugbuster,
kannst du das kurz erklären wie du es in die localconfig.php eingetragen hast.
Den Eintrag define('MEDIAELEMENT', '2.21.2'); drunter gesetzt funktioniert leider nicht.
Bei meiner Installation zieht nur der Eintrag in der constants.php. (Cache gelöscht!)
Viele Grüße und vielen Dank für den Tipp
Markus
Contao Partner aus Rosenheim und München
codesache.de
---
Mitglied der Contao Community Bayern
Aktuelle Termine zur Contao Community Bayern: contao-bayern.de
Konstanten kannst du nicht überschreiben, dann wären es ja keine mehr :-)
Aber wir haben ja gesehen, dass es die Variablen sind. Diese kannst dann in localconfig überschrieben, hier mal für das Mediaelement:
Aber mittlerweile ist das ja in der 3.5.15 mit drin.Code:$GLOBALS['TL_ASSETS']['MEDIAELEMENT'] = '2.21.2';
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
@BugBuster
Danke für die Info!
Contao Partner aus Rosenheim und München
codesache.de
---
Mitglied der Contao Community Bayern
Aktuelle Termine zur Contao Community Bayern: contao-bayern.de
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Lesezeichen