Contao-News
Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.
Konsolidiertes Sicherheitsupdate
von Leo Feyer – Ankündigungen
Anlässlich des Bekanntwerdens einer Remote Code Execution-Schwachstelle in der PDF-Exportfunktion wurde heute ein konsolidiertes Sicherheitsupdate für TYPOlight 2.6, 2.7 und 2.8 veröffentlicht. Die Schwachstelle kann nur unter bestimmten Voraussetzungen ausgenutzt werden und betrifft daher nicht alle Installationen. Trotzdem wird eine Aktualisierung unbedingt empfohlen.
Behobene Schwachstellen
Das konsolidierte Sicherheitsupdate behebt insgesamt vier Schwachstellen:
1. Kritische Sicherheitslücke im TYPOlight-Installtool
Diese im Dezember 2009 bekannt gewordene Sicherheitslücke betrifft alle TYPOlight-Installationen vor Version 2.7.6 und ist als äußerst kritisch einzustufen. Es existieren Patches für sämtliche Versionen ab TYPOlight 2.4, die unter allem Umständen eingespielt werden sollten.
2. Potentielle Request Forgery-Schwachstelle im Dateimanager
Diese potentielle Schwachstelle betrifft alle TYPOlight-Installationen vor Version 2.8.2. Ein konkreter Exploit liegt nicht vor, zudem wäre ein Angriff nur für angemeldete Backend-Benutzer möglich, was den Kreis der potentiellen Angreifer stark einschränkt.
3. Content Inclusion-Schwachstelle im Suchmodul
Diese Schwachstelle betrifft alle TYPOlight-Installationen vor Version 2.8.2, die das Suchmodul verwenden. Sie ermöglicht es, geschützte Artikel unter bestimmten Umständen über die Website-Suche einzusehen.
4. Remote Code Execution-Schwachstelle in der PDF-Exportfunktion
Diese Schwachstelle betrifft alle TYPOlight-Installationen ab Version 2.7 und vor Version 2.8.3, die die Funktion "PDF-Export" in Kombination mit der Kommentarfunktion verwenden. Die Kommentarfunktion allein oder die PDF-Exportfunktion allein sind nicht betroffen. Der Exploit ist zudem relativ offensichtlich und sollte beim Durchsehen der Kommentare auffallen.
Rückportierung der Änderungen
Sämtliche Schwachstellen sind in der aktuellen Version 2.8.3 behoben. Es wird aus Sicherheitsgründen dringend empfohlen, immer eine aktuelle TYPOlight-Version zu verwenden! In diesem Fall wurden die Änderungen zusätzlich rückportiert und die Versionen 2.7.7 und 2.6.8 veröffentlicht. Frühere TYPOlight-Versionen (2.5, 2.4 oder noch älter) sollten nicht mehr verwendet werden.
Alle Änderungen der Version 2.8.3
Eine Übersicht über alle Änderungen erhalten Sie im Ticket-System oder im Changelog.
Download des Release bei github.com.
Kommentare
Einen Kommentar schreiben