Bitte vormerken: Am 15.11.2017 werden wir ein sicherheitskritisches Contao-Release für Contao 3 und Contao 4veröffentlichen!
Bitte vormerken: Am 15.11.2017 werden wir ein sicherheitskritisches Contao-Release für Contao 3 und Contao 4veröffentlichen!
Vielleicht blöde Frage aber wird es wieder so enden das man alles tauschen muss an dateien oder eventuell nur die betroffenen?
Liebe Grüße
WebRoxx
Das hängt das davon ab wie du das Update durchführst.
Normalerweise reicht es in Contao 3 nur die betroffenen zu tauschen und dann noch ein zwei weitere damit die neue Versionsnummer auch sichtbar wird.
Für Contao 4 wird dann ein neues Bundle gentaggt (und somit ne neue Version) und Composer tauscht dann das gesamte Bundle aus. Da sollte man per Hand nicht rangehen.
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Falls du manuell machen musst, es gibt ja die Update ZIPs von mir, die kannste auch für ein manuelles Update nehmen.
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Ich nochmal.
ja die Zip von dir sind ja gut. Aber wenn jetzt der Patch raus ist würde es ja nur von 3.5.30 zu 3.5.31 wenig Aufwand sein. Mir machen eher Contaos und der Aufwand sorgen wenn die Versionsprünge zu groß sind wie 3.5.9 = 3.5.31
Da wäre es eben gut wenn für solche Fälle nur die betroffnene Dateien als Zip gäbe ohne die Versionsnummer zu ändern
Liebe Grüße
WebRoxx
Von 3.5.9 zu 3.5.31 sollte eher unkritisch sein. Obendrein hast Du dann ein paar andere Updates (u.a. eine sicherheitskritische Lücke im TinyMCE, eine PHP-Upload-Lücke ...) verschlafen.
Es gibt also absolut keinen Grund, das auszulassen. Wenn Du das bisher getan hast, dann solltest Du jetzt handeln - auch mit Easyupdate3 ist das mit ein paar Zwischenschritten schnell erledigt (zuerst dabei den Suchindex löschen, nach dem Update auf AFAIK 3.5.12 wieder aufbauen).
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Hallo. Wie BugBuster schon oben geschrieben hat, stellt er auf seiner Webseite im Zuge des easyUpdate auch diverse Versions-bundles zur Verfügung. ... und die klappen manuell zu installieren einwandfrei.
Danke an BugBuster an dieser Stelle ... schon mal vorab für den 15.11. ;-)
Gesendet von meinem LG-D802 mit Tapatalk
Grüsse
Bernhard
Wir (als CCA) haben das in der Vergangenheit mal gemacht, aber das war in einer Situation, wo eine Menge an älteren Installationen herumgeisterten, die wegen etlicher Kompatibilitätsproblemen nicht updaten konnten (sowas wie von TYPOlight 2.8 nach Contao 3.0 war mal sehr hässlich, auch weil die Zielversion nicht wirklich einsetzbar war).
Zur Zeit sollte die Situation aber anders sein - es gibt weder Gründe, um noch auf Contao 2 zu sein, noch dafür, auf einer nicht mehr supporteten 3er zu bleiben. Daher sehe ich jetzt erst einmal nicht den Bedarf, da separate Packages mit Patches zu schnüren.
Alle sollten auf LTS-Versionen sein, und die bekommen halt ein reguläres Systemupdate. Das ist ja gerade der Sinn von LTS-Versionen, die man doch auch unproblematisch regulär auf dem aktuellen Stand halten kann.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Ja wie gesagt es war einfach nur ne Anfrage, nicht mehr und nicht weniger.
Wird schon laufen mit den Updates
Liebe Grüße
WebRoxx
Hallo zusammen,
nur mal aus Interesse gefragt. Mir ist bisher noch nie aufgefallen (aber ich mag mich auch täuschen), dass ein sicherheitskritisches Update mit soviel Vorlauf und dann doch exakt datiert angekündigt wurde. Hat mich ein wenig verwundert. Wie kommt es dazu?
Wie gesagt, reine Neugierde
Grüße, Stefko
Das war bereits beim letzten Update im Juli so ... (und ja, früher war das nicht üblich).
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Ich finde die Vorankündigung ausgesprochen gut. Ich kann mich dadurch auf den zusätzlichen Aufwand vorbereiten.
Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
Unterstütze bitte das Contao-Projekt (Button Links)
Weitere Spendenmöglichkeiten
------------------------------------------------------------------------------------------------------
Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
Contao-Online-Video-Kurse: Contao Academy
Funktionalität erweitern: Contao-Erweiterungen
Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
Das ist eigentlich das übliche Vorgehen für eine Sicherheitslücke in einer Software. Das machen die meisten uns bekannten Projekte so, ich denk was man selber gut findet darf man sich ruhig abschauen
- Meldung der Sicherheitslücke. Darf niemals öffentlich erfolgen (Contao hat dafür die security@contao.org, siehe auch https://contao.org/de/support.html)
- Diskussion auf der Security-Mailingliste über einen möglichen Patch. Sobald eine Lösung gefunden ist, wird auch ein Release-Termin festgelegt, der allen passt (falls irgendwas auftauchen sollte). In diesem Fall erst nächsten Mittwoch, weil wir fast alle ans Camp reisen
- Öffentliche Ankündigung des Release-Termins, damit alle Agenturen/User Zeit haben, die betroffenen Installationen auszusortieren bzw. sich halt vorzubereiten.
- Beantragung einer CVE-Nummer (https://cve.mitre.org)
- Release mit CVE-Nummer im Changelog. Wichtig ist, dass bis zum Release keine Informationen zur Sicherheitslücke veröffentlicht werden (bis auf die betroffenen Versionen).
So ungefähr sehe ich das zumindest
Contao Core-Entwickler @terminal42 gmbh
Wir sind Contao Premium-Partner!
Für Individuallösungen kannst du uns gerne kontaktieren.
PS: Heute schon getrakked?
@Toflar: Punkt 2. und 4. laufen parallel ab, ansonsten stimme ich dir zu.
Bedenke stets: Wenn Du ungenaue oder unzureichende Angaben machst, so koennte dies die Bearbeitung deiner Frage endlos verzoegern (oder sogar dazu fyhren, dass ich zu viel nachdenken muss und die Antwort vergesse!). Kein Support per PN.
Für Updates innerhalb einer Minor-Version (keine größeren Sprünge) gäbe es auch noch die Patches auf OMOS.de (http://www.omos.de/patches.html).
Die Versionsnummer auswählen und es wird on-the-fly ein entsprechender Patch als Zip zur Verfügung gestellt. Damit update ich die meisten unserer Installationen.
Ich denke, das ich auch am Mittwoch die neue 3.5.31 noch einarbeite.
Bitte die Hinweise beachten.
Viele Grüße
René
Software-Entwickler Backend/Frontend
Möchtet ihr daraus nicht auch einen Newsbeitrag auf contao.org machen? Die Nachfrage kommt vielleicht ein bisschen spät, aber besser spät als nie.
Geändert von alexgr (13.11.2017 um 18:30 Uhr) Grund: Versuch einer besseren Formulierung
Kommt mit Sicherheit, wenn das Update rauskommt und die Infos über die Sicherheitslücke bekannt gemacht werden.
Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
Unterstütze bitte das Contao-Projekt (Button Links)
Weitere Spendenmöglichkeiten
------------------------------------------------------------------------------------------------------
Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
Contao-Online-Video-Kurse: Contao Academy
Funktionalität erweitern: Contao-Erweiterungen
Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
Ja, das ist klar, es ging ja um die Vorlaufzeit, bevor das passiert – siehe die Beiträge beim letzten Mal:
Ankündigung: https://contao.org/de/news/sicherhei...2-07-2017.html
Erscheinen des Updates: https://contao.org/de/news/contao_3-5-28.html
Ich wollte auch kein Fass aufmachen, nur nachfragen, weil es halt beim letzten Mal so war.
EDIT:
Mir ist gerade aufgefallen: Das könnte schärfer rüberkommen als es gemeint war. Damit wollte ich eigentlich sagen, dass die Frage etwas spät kommt und es deswegen insgesamt spät ist.
Geändert von alexgr (13.11.2017 um 18:29 Uhr)
Hi,
ich habe, wie zugesagt, die neue Version 3.5.31 in den Patch-Service auf OMOS.de integriert.
Viele Grüße
René
Software-Entwickler Backend/Frontend
Wie oben erwähnt, das Update ZIP für easyUpdate3 oder manuell ist auch online.
https://community.contao.org/de/show...l=1#post456624
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Hallo Zusammen,
einige Webseiten meiner Kunden arbeiten mit den Versionen 3.0.0 bis 3.5.30.
Zum Verständnis, kann ich die updates wie sonst auch über das Live-Update machen? Dazu brauche ich ja eine ID.
Betrifft die Sicherheitslücke auch verschlüsselte (https) Webseiten? Oder kann ich mir den Aufwand in diesem Fall sparen?
Danke im Voraus.
Gruß Claudia
Contao-Community-Treff Bayern: http://www.contao-bayern.de
Musst Du ja auch nicht unbedingt mit der Live-Update machen. Manuell oder mit [easyupdate] geht ja auch.
Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
Unterstütze bitte das Contao-Projekt (Button Links)
Weitere Spendenmöglichkeiten
------------------------------------------------------------------------------------------------------
Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
Contao-Online-Video-Kurse: Contao Academy
Funktionalität erweitern: Contao-Erweiterungen
Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)