Am Mittwoch, den 11. August 2021, werden wir Sicherheitsupdates für Contao 4.4, 4.9 und 4.11 veröffentlichen.
Ganzen Beitrag zu 'Sicherheitsupdates am 11. August 2021' lesen
Am Mittwoch, den 11. August 2021, werden wir Sicherheitsupdates für Contao 4.4, 4.9 und 4.11 veröffentlichen.
Ganzen Beitrag zu 'Sicherheitsupdates am 11. August 2021' lesen
Hallo,
gibt es nähere Infos welche Sicherheitslücken bzw. welche Bereiche davon betroffen sind?
Links?
vielen Dank
Grüsse
Bernhard
Hallo derRenner,
die wird es (wie immer) zu gegebener Zeit geben ;-)
Das ist nur ein Service für uns alle, damit wir uns darauf vorbereiten können. Es wird also schon um ein Sciherheitsproblem gehen, was schnell behoben werden sollte.
Wenn jetzt schon diese Infos veröffentlicht werden würden, dann käme der Patch eine Woche zu spät.
Viele Grüße
Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
[Arbeitet bei -> Paus Design & Medien]
"I can EXPLAIN it to you, but I can't UNDERSTAND it for you."
Viele die Contao auf upgedatenten Servern von Neue Medien Münnich laufen haben, werden wohl eh nicht Updaten können, wenn PHP 8 genutzt wird.
Meine ich das nur oder fallen gerade mehr Lücken als sonst auf?
Meine Seite wurde gestern gehackt. Wir sind gerade allgemein unter starkem Beschuss. Da frage ich mich, ob es an dieser Lücke liegt und in der Hackerszene schon bekannt ist.
Scheinbar war es auf jeden Fall etwas dringender; ist wohl vorgezogen: 4.9.17 gibt's seit gut 2 Stunden und 4.11.6 seit ner Stunde.
wobei ich in den Changelogs keine direkten Überschneidungen erkenne. Zumindest nicht auf den ersten Blick
Contao wird immer mehr genutzt und analyisiert, das ist was Gutes Die Anzahl der Lücken wird leider fälschlicherweise immer wieder als Argument für die Sicherheit herbeigezogen. Völliger Schwachsinn.
Das ist wie jüngst bei Corona in den USA: "Testet weniger, dann haben wir weniger Fälle".
Bei PHP selbst ist ungefähr jedes 3. Release ein Sicherheitsrelease. Das ist völlig normal.
Ich sage es immer wieder: Entscheidend ist nicht, wie häufig Sicherheitslücken auftreten, sondern wie mit diesen umgegangen wird.
Contao hat
- eine responsible disclosure policy: https://github.com/contao/contao/security/policy
- öffentlich einsehbare Sicherheitshinweise (übrigens auch als RSS abonnierbar): https://contao.org/de/sicherheitshinweise.html
- Sicherheitsreleases die ausschliesslich die Sicherheitslücke schliessen, nicht mehr und nicht weniger (insofern auch die ganz normalen, regelmässigen Bugfix-Releases heute) um Side-Effects zu minimieren
- Ankündigungen von Sicherheitsreleases mit genügend Vorlaufzeit (aber auch nicht zu langer Vorlaufzeit) und ohne weitere Details, um die Angriffsfläche klein zu halten
oder anders ausgedrückt: Contao macht das eigentlich schon ziemlich gut
Contao Core-Entwickler @terminal42 gmbh
Wir sind Contao Premium-Partner!
Für Individuallösungen kannst du uns gerne kontaktieren.
PS: Heute schon getrakked?
Aus diesen Gründen vermutest du also, dass Contao selber genutzt wurde als Einfallstor?
Es wäre sinniger, wenn du bei dir genauer untersuchst, wie da in den virtuelle Server eingebrochen wurde.Selbst mit einem komplett aktuellen System kann sowas immer passieren. Stichwort: Irgendein Passwort wurde 'erraten' oder sonst was. Hilft ja nicht, wenn du einfach so vermutest was das Problem war ohne es wirklich zu wissen oder?
Viele Grüße
Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
[Arbeitet bei -> Paus Design & Medien]
"I can EXPLAIN it to you, but I can't UNDERSTAND it for you."
https://community.contao.org/de/show...-nicht-oder-so
Ob es etwas mit Conao zu tun hat weiß ich nicht, der Hoster mein schon ...
Ich hatte bisher mit 5 gehackten "Servern" zu tun - nach Analyse waren es 1x FileZilla-PW-Manager (vor ~15 Jahren), 1xJoomla mit Spamversendung (vor 8 Jahren) und in den letzten vier Jahren drei mal ein Wordpress bzw. irgendwelche Erweiterungen durch die alle Seiten mit irgendwelchen JS versehen wurden.
MetaModels-Workshop: ... wo sich die nächste Gelegenheit bietet... oder Extern oder Online
Erweiterungen: Infos im Seitenbaum, Formular-Default für Select/Checkbox/Radio (SCR), Formular-Newsletteranmeldung, Regex-Formularwidget, Lizenzmanager für Isotope
Unterstützung per Github-Sponsoring: MetaModels Handbuch und Forum, e-spin Erweiterungen
Wie gesagt, das Problem hindert dich nicht daran Contao zu aktualisieren. Es hindert dich auch nicht daran die Datenbank zu aktualisieren. Die Datenbankaktualisierungen werden ja durchgeführt - Contao (bzw. Doctrine) erkennt nur nicht, dass die jeweiligen Felder schon das richtige Format haben. Dein Problem hat jedenfalls nichts mit diesem Thread hier zu tun.
Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
Unterstütze bitte das Contao-Projekt (Button Links)
Weitere Spendenmöglichkeiten
------------------------------------------------------------------------------------------------------
Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
Contao-Online-Video-Kurse: Contao Academy
Funktionalität erweitern: Contao-Erweiterungen
Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)