Contao-News

Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Contao 4.4.1 verfügbar

von Leo Feyer – Ankündigungen

Contao Version 4.4.1 ist verfügbar. Das Bugfix-Release behebt eine Arbitrary PHP File Inclusion-Schwachstelle im Backend.

CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.

Das Problem betrifft Contao 3.0.0 bis 3.5.27 und Contao 4.0.0 bis 4.4.0.

Obgleich wir die Schwachstelle nicht als kritisch einstufen, empfehlen wir nachdrücklich ein Update auf Contao 3.5.28 oder Contao 4.4.1.

DCA-Picker

Der in Contao 4.4.0 neu eingeführte DCA-Picker ist in Contao 4.4.1 leider weiterhin nicht für reguläre Backend-Benutzer nutzbar.

Um das Problem zu beheben, müssen wir die Implementierung komplett überarbeiten (siehe contao/core-bundle#950), daher bitten wir alle Entwickler, noch keine Erweiterungen zu veröffentlichen, die den neuen Picker nutzen. Die neue Implementierung kann aus technischen Gründen nicht rückwärtskompatibel sein.

Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht

Alle News anzeigen

Kommentare

Kommentar von zonky |

Hallo,

was sind den "irreguläre" Backend-Benutzer als Gegensatz zu den erwähnten "reguläre Backend-Benutzer"?

Gruss

Antwort von Leo Feyer

Wir unterscheiden Administratoren und normale (reguläre) Benutzer.

Kommentar von Jo |

War mir klar, dass man als Admin nicht normal sein kann ;-)

Gruß Jo

Kommentar von Marcel |

Hallo zusammen,

gestern zwei Projekte von 3.5.x um 4.4.x umgestellt, dank Contao-Manager ist alles gut durchgelaufen. Danke den Core-Team für diese großartige Software und die sicherlich vielen Stunden, Gedanken und Ideen, die in die Entwicklung eingeflossen sind.

Viele Grüße, Marcel

Einen Kommentar schreiben

Bitte addieren Sie 8 und 3.