Contao-News
Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.
Schwere Sicherheitslücke in Contao gefunden
von Leo Feyer – Ankündigungen
Zu der potentiellen PHP-Object-Injection Sicherheitslücke, die wir mit den letzten Updates auf Contao 3.2.5 bzw. 2.11.14 prophylaktisch behoben haben, ist nun leider ein Exploit aufgetaucht.
Die Sicherheitslücke kann dazu genutzt werden, beliebigen PHP-Code auf dem Server auszuführen (Arbitrary Code Execution) und ist somit als schwerwiegend einzustufen. Ein Update auf die neueste Contao-Version, entweder 3.2.5 oder 2.11.14, wird dringend empfohlen!
Wer seine Contao-Installation nicht kurzfristig aktualisieren kann, sollte unbedingt die Änderungen aus dem Commit d67c46c1 entsprechend nachvollziehen. Die Extension-Entwickler sind dringend angehalten, ihre Erweiterungen zu prüfen, dass keine Benutzereingaben an die Funktion deserialize() übergeben werden.
Kommentare
Kommentar von Marc Reimann |
Die CCA (Contao Community Alliance) hat Patch-Files auch für ältere Contao-Versionen veröffentlicht. Für viele sicher eine Erleichterung, um erstmal ein paar Installationen auf die Schnelle zu versorgen.
Hier der Beitrag mit den Download-Möglichkeiten: c-c-a.org/aktuelles/news/details/bugfixes-fuer-kritische-sicherheitsluecke-in-contao
Viele Grüße
Einen Kommentar schreiben