Contao-News

Wir informieren Sie hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Contao 4.4.1 verfügbar

von

Contao Version 4.4.1 ist verfügbar. Das Bugfix-Release behebt eine Arbitrary PHP File Inclusion-Schwachstelle im Backend.

CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.

Das Problem betrifft Contao 3.0.0 bis 3.5.27 und Contao 4.0.0 bis 4.4.0.

Obgleich wir die Schwachstelle nicht als kritisch einstufen, empfehlen wir nachdrücklich ein Update auf Contao 3.5.28 oder Contao 4.4.1.

DCA-Picker

Der in Contao 4.4.0 neu eingeführte DCA-Picker ist in Contao 4.4.1 leider weiterhin nicht für reguläre Backend-Benutzer nutzbar.

Um das Problem zu beheben, müssen wir die Implementierung komplett überarbeiten (siehe contao/core-bundle#950), daher bitten wir alle Entwickler, noch keine Erweiterungen zu veröffentlichen, die den neuen Picker nutzen. Die neue Implementierung kann aus technischen Gründen nicht rückwärtskompatibel sein.

Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht

Zurück zur News-Übersicht.

Bücher und Videos