Sicherheitshinweise zu aktuellen Contao-Releases

4

Mit Updates und Bugfixes wurden wir in den letzten Tagen nicht verschont. Erst der schnelle Hotfix für das Frontend, dann der eigentlich finale Bugfix für die gesamte Sicherheitslücke und jetzt noch ein Bugfix für den Bugfix - und das innerhalb von einer Woche. Alles was wir in den letzten Monaten und Jahren gut umschifft haben, trifft uns jetzt etwas mehr.

Warum?

Dank eines professionellen Sicherheitstester und durch bekannte Entwickler aus der Community wurde dem Contao-Team die Sicherheitslücke mitgeteilt und nicht durch unseriöse Quellen, die diese vielleicht ausgenutzt hätten. Auf Grund der schnellen Reaktionszeit und der Bereitstellung der Patches sind wir alle von größeren Problemen verschont geblieben. Und trotz der vielen Updates - schlussendlich geht es hier um die Sicherheit eurer Websites.

Aufgrund der schwerwiegenden Sicherheitslücke wurde in den letzten zwei Tagen und Nächten nach einer Lösung gesucht und ein entsprechender Bugfix veröffentlicht (Ankündigung auf contao.org). Leider wurde dann aber ein weiterer Weg gefunden, diesen Fix zu umgehen und erneut Schadcode ausführen zu lassen.

Problemlösung?

Damit auch weiterhin so viele Contao Installationen wie möglich abgesichert werden können, stellen wir als CCA (Contao Community Alliance) euch wieder Backport-Pakete bereit. So könnt ihr einfach und schnell die Patch-Files auch in den verschiedensten Contao-Versionen installieren.

Wir hoffen, dass es nun die vorerst letzten Patch-Files zu diesem Problem sein werden.

Aufgrund der schwere der Sicherheitslücke haben wir eine extra Unterseite eingerichtet auf der wir euch fortlaufend mit den neuesten Updates versorgen werden. Verlinkt diese Seite, wenn es um das Thema geht, und schickt sie an befreundete Contao-Nutzer. Je mehr Contao-Nutzer informiert sind, desto sicherer werden auch wieder alle Contao-Installationen!

Zurück

Einen Kommentar schreiben

  1. Kommentar von Tom |

    Herzlichen Dank für euren Einsatz!

  2. Kommentar von Karlheinz Büscher |

    Auf der einen Seite ist das Sicherheitsupdate gerade für Shops extrem wichtig und eure Arbeit kann nicht hoch genug bewertet werden, wenn ich aber aber bei Hochrüstung unseres Shop auf die neueste Version 2.11.16 verfälschte Preise und Funktionseinbußen bekomme im isotope Shop und keine Aussagen von den isotope Leuten bekomme, ist mir ein real funktionierender Shop lieber als die Vorbeugung eines möglichen Hacker-Angriffs.
    Es soll kein Nörgeln an eurer Arbeit sein, sondern das hier hindeuten, das da was nicht passt.

    Antwort von Marc Reimann

    Es kann schon sein, das bei so einem Patch manche Erweiterungen nicht mehr wie erwartet funktionieren. Deswegen sollte man so oder so testen, testen und testen. Da du ja die offizielle Contao Version genutzt hast, liegt es auch nicht an unseren Patch-Dateien. Du solltest das am besten in das Ticket System vom Isotope schreiben, damit die Entwickler darüber auch Bescheid wissen und handeln können. Wobei ich mir vorstellen kann, das es gerade beim Isotope etwas länger dauert, bis da der ganze Code durchgeschaut wurde und solche Bugs beseitigt sind.

  3. Kommentar von zonky |

    @KH Büscher: habe auch einen Isotope-Shop unter 2.11.16 - konnte aber keine Preisveränderung feststellen... ist das Problem "nachvollziehbar" bzw. konntest Du es lösen?
    Gruss

  4. Kommentar von Karlheinz |

    Hallo,

    Marc: Könntest du meinen Kunden-Website-Link von meinem Kommentar entfernen, der wird bei meinem Link-Tool angemeckert. Danke für Deine Hilfe.
    Antwort auf Zonky: Wir haben alles wieder auf 2.11.14 zurückgerüstet.

    Antwort von Nicky Hoff

    Hallo Karlheinz, meinst du den auf Deinem Namen? Den habe ich soeben entfernt!