Update 4.13.58 > 5.3.* > Security Issues

[Jens_]

Hallo zusammen,

ich habe das in den Threads noch nicht gefunden, wahrscheinlich stelle ich mich mal wieder zu doof an. Beim Update einer schlanken Instanz (nur 1 Plugin, und das ist Contao 5-kompatibel) bekomme ich folgende Fehlermeldungen:

c

Code:

ontao/calendar-bundle 5.3.0 requires contao/core-bundle 5.3.0 -> found contao/core-bundle[5.3.0] but these were not loaded, because they are affected by security advisories ("PKSA-3p5h-vgz7-458z", "PKSA-wjhx-cdbz-9x61", "PKSA-4m99-84h8-dntz", "PKSA-v6p5-ssqr-1zcw", "PKSA-66g4-yhz3-k3zh", "PKSA-c2g8-xqxr-4cjw", "PKSA-pmyp-m45j-62p1", "PKSA-8psg-sb44-9n6y", "PKSA-5k7g-byhd-8xrm", "PKSA-rk65-kfm6-21d9", "PKSA-bxmw-zt4x-f182", "PKSA-g1qg-mn7d-638g"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config.

Nun steht in meiner Config-json aber schon:

Code:

{
    "config": {
        "preferred-install": "dist",
        "store-auths": false,
        "optimize-autoloader": true,
        "sort-packages": true,
        "discard-changes": true,
        "allow-plugins": true,
        "audit": {
            "block-insecure": false
        }
    }
}

Das ist es dann wohl nicht, oder? Hat jemand einen Hinweis, wo ich noch suchen muss?

Grüße
Jens_

[Spooky]

Versuchst du auf 5.3.0 zu aktualisieren? Du musst auf die neueste Contao 5.3 Version aktualisieren, also einfach 5.3.* bspw.

[Jens_]

Hi Spooky,

im Contao-Manager habe ich 5.3.* mitgegeben, so sieht es zu Beginn aus:

Code:

> Resolving dependencies using Composer Cloud v3.8.2-2-ge29a39b
[7.0MiB/0.24s] Loading composer repositories with package information
[66.7MiB/8.55s] Updating dependencies
[91.6MiB/11.51s] Your requirements could not be resolved to an installable set of packages.
[91.6MiB/11.51s] 
  Problem 1
    - Root composer.json requires contao/calendar-bundle 5.3.* -> satisfiable by contao/calendar-bundle[5.3.0, ..., 5.3.44].
    - contao/calendar-bundle 5.3.0 requires contao/core-bundle 5.3.0 -> found contao/core-bundle[5.3.0] but these were not loaded, because they are affected by security advisories ("PKSA-3p5h-vgz7-458z", "PKSA-wjhx-cdbz-9x61", "PKSA-4m99-84h8-dntz", "PKSA-v6p5-ssqr-1zcw", "PKSA-66g4-yhz3-k3zh", "PKSA-c2g8-xqxr-4cjw", "PKSA-pmyp-m45j-62p1", "PKSA-8psg-sb44-9n6y", "PKSA-5k7g-byhd-8xrm", "PKSA-rk65-kfm6-21d9", "PKSA-bxmw-zt4x-f182", "PKSA-g1qg-mn7d-638g"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config.

(...)

- contao/calendar-bundle 5.3.9 requires contao/core-bundle 5.3.9 -> found contao/core-bundle[5.3.9] but these were not loaded, because they are affected by security advisories ("PKSA-3p5h-vgz7-458z", "PKSA-wjhx-cdbz-9x61", "PKSA-4m99-84h8-dntz", "PKSA-v6p5-ssqr-1zcw", "PKSA-66g4-yhz3-k3zh", "PKSA-c2g8-xqxr-4cjw", "PKSA-pmyp-m45j-62p1", "PKSA-8psg-sb44-9n6y", "PKSA-5k7g-byhd-8xrm"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config.

Scheinbar wird das immer so dargestellt, ich hatte nur einen Auszug dargestellt. Das Calendar-Bundle wird in zig Versionen als Fehler identifiziert. Es scheint aber in der Tat das Calendar-Bundle als Ursache einzig in Frage zu kommen?

Viele Grüße
Jens_

[Spooky]

Poste deine composer.json und die gesamte Konsolenausgabe.

[dtptiger]

"because they are affected by security advisories"

Ja, kenne ich, meine update Erfahrung mit 5.3.* und dem Composer war, ich sage, mal auch etwas schwierig.
Mit der Definition 5.3.* nudelt das System scheints alle Verianten der möglichen updates durch, und eben auch die mit "affectet", und bei "affectet" bricht der manager gnadenlos ab.

Ich löste das, nach try&error (und Schlafentzug), mit der definitiven Eingabe der Version 5.3.44
Aprpos, es gibt auch Extensions die man beim update nicht die Version aussuchen lassen darf

Viele Grüße dtptiger

[Jens_]

Hallo spooky und dtptiger,

das mit dem 3.4.4 hat geholfen - damit lief alles durch. Habe noch eine Abhängigkeit gefunden, als das Log übersichtlicher wurde und schwupps, lief es durch. Danke Euch sehr - Ihr habt mir sehr, sehr geholfen!

Viele Grüße
Jens_