Eine neue kritische Sicherheitslücke in Contao entdeckt

12

Heute wurde in einem Ticket eine kritische Sicherheitslücke gemeldet: http://github.com/contao/core/issues/6855

Man kann über die Eingabe einer URL die pathconfig.php entfernen oder abändern, wodurch die komplette Contao Installation nicht mehr erreichbar ist oder Schadcode ausgeführt wird. Betroffen davon sind potentiell alle Contao/TYPOlight Versionen. Wir haben ein paar Möglichkeiten für euch, wie ihr verhindern könnt, das jemand diese Sicherheitslücke ausnutzt, bis ein offizieller Patch draußen ist.

Man muss dazu lediglich die install.php vor einem Aufruf zu schützen.

Hier ein paar Methoden wie ihr das machen könnt:

  1. die /contao/install.php komplett entfernen
  2. die /contao/install.php per chmod auf 000 setzen (im FTP-Programm einfach alle Rechte entziehen)
  3. in /contao/ eine .htaccess anlegen und darüber einen Passwort-Schutz einrichten

Natürlich werden wir euch sofort informieren, wenn wir mehr Informationen zu dieser Sicherheitslücke haben.

Zurück

Einen Kommentar schreiben

  1. Kommentar von Edgar Selting |

    Vielen Dank, dass Du direkt eine Lösung mitlieferst, Marc

    Antwort von Marc Reimann

    Hallo Edgar,

    vielen Dank. Ist allerdings ein Gemeinschaftswerk der CCA und nicht nur von mir!
    Zum Glück sind immer mehrere von uns in Mumble anwesend. Da geht sowas ganz fix ;-)

  2. Kommentar von Dominik Zogg |

    Vielen Dank für die Meldung

  3. Kommentar von Matthias |

    Danke für die Mühe und Hilfe.

  4. Kommentar von ways2web |

    Danke für euren ständigen Bemühungen.
    Und vorallem, dass auch gleich Lösungsansätze vorgeschlagen werden, statt einfach nur zu melden. Sowas macht den Unterschied.

  5. Kommentar von Uwe Munz |

    Super vielen Dank dafür, und die kurze Beschreibung der Lösung...

    Uwe

  6. Kommentar von Didier Federer |

    Besten Dank für die Bemühungen und Infos

  7. Kommentar von Bigga |

    Lieben Dank an alle! Dank Eurer "Handlungsanweisung" wussten wir, was wir tun sollten, super!

  8. Kommentar von Steffen |

    Gibt es eigentlich schon so etwas wie eine Contao Mailingliste für Updates und Sicherheitswarnungen? Ich schaue nicht ständig rein und habe die beiden Sicherheitslücken nur durch Zufall zeitnah mitbekommen.
    In solchen Fällen würde ich gerne sofort mitbekommen, dass Handlungsbedarf besteht.

    Antwort von Tristan Lins

    Das steht bereits bei uns auf der TODO Liste, da werden wir in Kürze etwas anbieten ;-)

  9. Kommentar von Marc Reimann |

    Heute gibt es schon updates, die diese Lücke schließen:
    https://contao.org/de/news/contao_3-2-9.html
    https://contao.org/de/news/contao_2-11-17.html

  10. Kommentar von Alex |

    Danke Euch für die Hinweise!

    Werdet Ihr auch wieder Fixes für ältere Versionen bereitstellen, z.B. für 2.9.X?

    Antwort von Marc Reimann

    Hallo Alex,
    da die Portierung nicht gerade einfach werden würde und wir mit den Möglichkeiten oben genügend Alternativen aufgezeigt haben, werden wir diesmal keine Rückportierung machen.

    Lösch einfach die install.php bei den betroffenen Installationen von dir und alles wird gut ;-)

    Viele Grüße

  11. Kommentar von Alex |

    Hmmm, schade. Ich bin kein Fan des Löschens, da man die install.php evtl. nochmal braucht und gerade kein Backup zur Hand hat. Und wenn Umbenennen nicht sicher genug ist ...

    Wäre es denn sicher, einen Aufruf wie die("Install-Tool wurde zur Sicherheit gesperrt!"); in die Datei einzufügen, den man bei Bedarf wieder auskommentiert?

    Antwort von Tristan Lins

    Ein die(...) direkt am Anfang der Datei hilft auch.

  12. Kommentar von Markus Manzke |

    serverweiter htpasswd-Schutz für contao/install.php; schütz alle (auch die vergessenen) Contao-Installationen auf einem Apache-Server; falls die config nicht komplett mit durchkommt: https://www.mare-system.de/news/secbulletin/1397555170/

    <LocationMatch /contao/install.php>
    AuthType Basic
    AuthName "Contao Install"
    AuthGroupFile /dev/null

    AuthUserFile /path/to/htpasswd
    Require valid-user

    </LocationMatch>

    Antwort von Tristan Lins

    Eine sehr scharmante Lösung, für den Fall das man auf Nummer sicher gehen will für Systemadministratoren durchaus hilfreich, danke dir :-)

    Aber bzgl. der verlinkten Seite muss ich jedoch sagen, dass ein allow_url_fopen = Off keineswegs die Sicherheit erhöht, ein allow_url_include = Off allerdings schon.