Contao-News
Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.
Contao 4.4.1 verfügbar
von Leo Feyer – Ankündigungen
Contao Version 4.4.1 ist verfügbar. Das Bugfix-Release behebt eine Arbitrary PHP File Inclusion-Schwachstelle im Backend.
CVE-2017-10993
Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.
Das Problem betrifft Contao 3.0.0 bis 3.5.27 und Contao 4.0.0 bis 4.4.0.
Obgleich wir die Schwachstelle nicht als kritisch einstufen, empfehlen wir nachdrücklich ein Update auf Contao 3.5.28 oder Contao 4.4.1.
DCA-Picker
Der in Contao 4.4.0 neu eingeführte DCA-Picker ist in Contao 4.4.1 leider weiterhin nicht für reguläre Backend-Benutzer nutzbar.
Um das Problem zu beheben, müssen wir die Implementierung komplett überarbeiten (siehe contao/core-bundle#950), daher bitten wir alle Entwickler, noch keine Erweiterungen zu veröffentlichen, die den neuen Picker nutzen. Die neue Implementierung kann aus technischen Gründen nicht rückwärtskompatibel sein.
Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht
Kommentare
Kommentar von zonky |
Hallo,
was sind den "irreguläre" Backend-Benutzer als Gegensatz zu den erwähnten "reguläre Backend-Benutzer"?
Gruss
Antwort von Leo Feyer
Wir unterscheiden Administratoren und normale (reguläre) Benutzer.
Kommentar von Jo |
War mir klar, dass man als Admin nicht normal sein kann ;-)
Gruß Jo
Kommentar von Marcel |
Hallo zusammen,
gestern zwei Projekte von 3.5.x um 4.4.x umgestellt, dank Contao-Manager ist alles gut durchgelaufen. Danke den Core-Team für diese großartige Software und die sicherlich vielen Stunden, Gedanken und Ideen, die in die Entwicklung eingeflossen sind.
Viele Grüße, Marcel
Einen Kommentar schreiben