Concernés sont seulement les sites web qui contiennent des formulaires.
https://community.contao.org/en/showthread.php?22385-Major-security-hole-found-in-Contao
https://community.contao.org/de/showthread.php?47723-Contao-3-2-5-verf%FCgbar&p=309435&viewfull=1#post309435
Die Sicherheitslücke kann verwendet werden um die localconfig.php zu überschreiben. Somit kann auch jeder beliebige PHP-Code ausgeführt werden.
Une attaque est possible en sorte qu'on puisse effacer et écrire dans la localconfig.php. Ceci permettrai d'exécuter n'importe quel code PHP.
2.11.14 et 2.3.5 corrigent ce problème pour le core contao:
https://community.contao.org/de/showthread.php?47724-Contao-2-11-14-verf%FCgbar
https://community.contao.org/de/showthread.php?47723-Contao-3-2-5-verf%FCgbar
Explications/Discussion sur ce trou de sécurité:
https://community.contao.org/de/showthread.php?47987-Schwere-Sicherheitsl%FCcke-in-Contao-gefunden
Remède général. Ceci est valable pour toutes les versions contao et est appliquable pour les cas ou on ne veut/peut pas mettre à jour jusqu'à la version 2.11.14/2.3.5:
https://contao.org/de/news/schwere-sicherheitsluecke-in-contao-gefunden.html
Cette page contient un lien sur github et les modifs à apporter manuellement dans les 17 fichiers (17 changed files with 33 additions and 25 deletions.)
Pour ceux qui refusent cette proposition, ont la possibilité de copier les fichier du patch de leur version concernée:
http://c-c-a.org/aktuelles/news/details/bugfixes-fuer-kritische-sicherheitsluecke-in-contao
Anwendungsbeispiele:
Fall 1: Wenn Ihr Contao 2.10.3 habt, dann solltet Ihr die Komplettinstallation von uns nehmen und damit direkt ein Update auf Contao 2.10.4 durchführen.
Fall 2: Ihr habt bereits die Version 2.10.4, dann müsst Ihr lediglich die jeweiligen Patch-Files per FTP in Eure Contao-Installation kopieren.
Examples:
cas no. 1:
Vous avez 2.10.3 ; alors vous devriez prendre la version complète 2.10.4 (ce qui correspond à une mise à jour à cette version 2.10.4).
Si vous voulez/devez garder la 2.10.3, il reste la solution des 17 fichiers à modifier.
cas no. 2:
Vous avez déjà la 2.10.4 ; alors il suffit d'appliquer le patch (seulement les fichiers concernées) et le copier dans votre installation contao.
Reste alors l'insécurité (probable) des extensions: Pour l'instant il n'y a rien à entreprendre (en cours d'études).
Klaus
EDIT: Concernés sont seulement les sites web qui contiennent des formulaires.