Sicherheitsupdate - Aktualisiert Eure Contao-Installation

11

Vor ungefähr einer Woche wurde von einem User über die interne Security-Mailingliste eine eventuelle Sicherheitslücke gemeldet. Leo Feyer und sein Team haben sich dieser Sache sofort angenommen und den Sachverhalt geprüft. Bei ihrer Prüfung mussten sie das Sicherheitsproblem leider bestätigen. Umgehend hat sich das Team um eine Lösung bemüht. Hierbei wurde ein weiteres Problem aufgedeckt und ebenfalls sofort behoben.

WER ist betroffen?

Grundsätzlich sind alle 2.x, 3.x und 4.x Versionen betroffen. Erweiterungen sind nicht direkt betroffen, wenn diese zur Verarbeitung von Nutzerdaten (aus Formularen o.ä.) auf die Contao Funktionen zurückgreifen. Erweiterungen, die an den Contao Funktionen vorbei arbeiten, müssen ggfs. geprüft werden.

WAS lässt sich angreifen?

Angreifen lässt sich prinzipiell jede Installation. Besonders angreifbar sind Websites mit Eingabemasken. Unsere Empfehlung: Fixt zuerst Installationen, die über eine Suche oder ein Kontaktformular verfügen und danach den Rest.

Unter Contao 3.x/4.x lassen sich die Contao Benutzer und Website Besucher mit XSS Attacken angreifen.

Contao 2.x lässt sich nicht mit XSS angreifen, ein Update ist trotzdem empfohlen.

Die Contao 2.x/3.x/4.x Installation selbst (auf PHP oder Datenbankebene Ebene) und der Server ist NICHT angreifbar.

WIE kann ich dieses Problem beheben?

Mit der Installation/einem Update von/auf Contao 3.3.7 bzw. 3.2.16 gibt es bei den Contao Core-Funktionen aktuell keine bekannte Angriffsfläche mehr. ACHTUNG: Extensions von Drittanbietern könnten eventuell betroffen sein und somit Eure gesamte Contao-Installation gefährden. Dies kann man aber nur im individuellen Fall entscheiden. Bitte kontaktiert ggfs. Eure Extension-Entwickler, um dies zu entscheiden.

Damit Ihr nun nicht Eure kompletten Websites auf die jeweils aktuellsten Contao-Versionen updaten müsst, stellen wir Euch nachfolgend verschiedene Patchpakete für verschiedene Contao-Versionen zur Verfügung. Dazu müsst Ihr Euch einfach das passende Paket herunterladen und dann die jeweiligen Dateien auf Eurer Website ersetzen.

Wir stellen Euch nachfolgend verschiedene Patch-Pakete zur Verfügung. Diese gelten ausschließlich für die jüngste Version aus den jeweiligen Minor-Zweigen 3.0 und 3.1. Solltet Ihr noch nicht auf der jeweils jüngsten Version sein, ist ein Update unumgänglich.

Die benötigten Patch-Pakete erhaltet ihr hier.

ACHTUNG

Die Benutzung dieser Bugfix-Versionen geschieht auf eigene Gefahr. Sie wurden von uns getestet und geprüft. Aber es kann immer sein, das sich ein Fehler eingeschlichen hat. Deswegen wird (wie immer) angeraten, ein Backup der Installation vor dem Einspielen vorzunehmen.

Bitte beachtet weiterhin, dass dies inoffizielle Patch-Files sind und somit vom Contao Core Team nicht supported werden!

Zurück

Einen Kommentar schreiben

  1. Kommentar von Softleister - Hagen Klemp |

    Hallo CCA,
    vielen Dank für die viele, viele Arbeit um die Patches bereit zu stellen. Ihr seid großartig!

    Ein Problem habe ich mit der 2.9.5 und dem Patch, denn offenbar braucht die Datei Environment.php mehr als das damals übliche PHP 5.2 (ich weiß, es ist veraltet).

    Meldung:
    Parse error: syntax error, unexpected T_FUNCTION in /#########/system/libraries/Environment.php on line 437

    Gibt es dazu einen Workaround?

    Gruß, Hagen (do_while)

    Antwort von Marc Reimann

    Hallo Hagen,

    dazu gibt es an sich nur die Lösung -> updaten.

    PHP 5.2 ist ja auch schon sehr sehr veraltet.

    Viele Grüße

  2. Kommentar von Strandel |

    Nach Patch-Update für 2.9.5. und 2.10.4 können die "Benutzergruppen" im Backend nicht mehr bearbeitet werden. Es erscheint immer eine weisse Seite.
    Folgende Updates durchgeführt:
    - NUR Patch-Files für Contao 2.9.5
    - NUR Patch-Files für Contao 2.10.4

    Folgende Links funktionieren nicht mehr:
    /main.php?do=group&act=edit&id=1
    oder
    /main.php?do=group&act=copy&id=1

    Gruss Hans

    Antwort von Marc Reimann

    Hallo Hans,

    kann ich so nicht bestätigen. Da muss noch etwas anderes schief laufen bei dir (habs bei mehreren Installationen von mir getestet gerade). Zumindest kann ich das für die 2.9.5 sagen.

    Viele Grüße

  3. Kommentar von Strandel |

    @Marc Reimann

    Fehlermeldung für Backend "Benutzergruppen":

    Fatal error: Cannot redeclare class tl_settings in ../system/modules/backend/dca/tl_settings.php on line 643

    Zeile 643 ist mehr oder weniger ganz am Schluss -> geschwungene Klammer

    Gruss Hans

    Antwort von Tristan Lins

    Kannst du dein Problem bitte im Forum Installation / Update posten, das wird hier sonst zu unübersichtlich. Ich vermute dass beim Update entweder was schief gelaufen ist oder es einen Seiteneffekt mit einer Extension gibt.

  4. Kommentar von Detlef |

    Vielen herzlichen Dank für den Service und das Engagement!

  5. Kommentar von Alex |

    Ein riesengroßes Dankeschön für Eure Patches!

  6. Kommentar von Michel |

    Super, vielen Dank!

  7. Kommentar von Beate |

    Hallo,
    erstmal ein riesiges Dankeschön für das Bereitstellen der Patches!
    Beim Patchset 2.10.4 kommt es leider bei mehreren Installationen zu einer weißen Seiten beim Einspielen der environment.php trotz php 5.3.29. Die anderen Daten können alle problemlos ausgetauscht werden, welche Ursache kann es noch haben, der Check gibt auch keine Infos.
    In der error.log steht 'Could not connect to database (Lost connection to MySQL server at 'reading initial communication packet', system error: 104)' thrown in xyz/system/libraries/Database.php on line 78
    xyz habe ich eingesetzt statt der Serverdaten.
    Herzliche Grüße
    Beate

    Antwort von Nicky Hoff

    Hallo Beate,

    hmmm ... das ist seltsam, denn wir ändern nichts an der Datenbank-Verbindung. Hier muss irgendwo ein anderes Problem vorliegen. Das lässt sich aber schwer einschätzen.

    fg
    nicky

  8. Kommentar von Beate |

    Hallo Nicky,
    ich habe jetzt bei einem Kunden ein Update auf die 2.11.17 vorgenommen, das Patch dazu konnte ich ohne Fehlermeldung einspielen - wie gesagt der Fehler trat bisher nur bei der 2.10.4 bei mehreren Installationen auf.
    Die anderen Patches haben alle funktioniert.
    Herzliche Grüße
    Beate

    Antwort von Nicky Hoff

    Hallo Beate,

    ich habe soeben selbst mal ein Update einer 2.10.4 gemacht und habe keinerlei Probleme. Kann also somit nicht am Patch selbst liegen!

    fg
    nicky

  9. Kommentar von Malte |

    Danke für den Support!
    Nur zur Sicherheit: Ist das Formular für die Newsletter-Anmeldung ebenfalls betroffen?
    lg Malte

    Antwort von Marc Reimann

    Hallo Malte,
    die Newsletter-Anmeldung ist auch eine Eingabemaske ;-)

    Viele Grüße

  10. Kommentar von Gudrun |

    Seit heute stelle ich fest, daß ich bei den Websiten, bei denen ich auf die Version 2.11.17-cca.xss2.dt upgedatet habe, aus dem Backend fliege. Egal ob ich einen Artikel bearbeiten will oder nur auf zurück klicke. Ich lande immer bei der Anmeldemaske. Wurde dieser Fehler schon von mehreren beobachtet und was kann ich tun?
    lg Gudrun

    Antwort von Nicky Hoff

    Hallo Gudrun,

    also in dieser Richtung ist uns nichts bekannt. Ich selbst habe auch ein paar 2.11.17-Versionen mit dem Patch laufen und habe diese Probleme nicht. Ich denke, dass das eher ein lokales Problem bei Dir zu sein scheint. Schau mal bitte im Forum nach, denn da gibt es schon ein paar Threads zu diesem Thema mit verschiedenen Anleitungen und Hilfestellungen, was man tun kann. Am besten auch mal mit einem anderem Browser ausprobieren und einem anderem Betriebssystem. Des weiteren auch mal Browsercaches und -cookies leeren.

    fg
    nicky

  11. Kommentar von Alex |

    Hallo zusammen,

    sind ältere Versionen wie die 2.11.17 eigentlich auch von der aktuellen Sicherheitslücke im SwiftMailer betroffen (CVE-2016-10074)?

    Falls ja, werdet Ihr einen Fix zur Verfügung stellen?

    Danke&Gruß Alex

    Antwort von Nicky Hoff

    Hallo Alex,

    also vermutlich sind alle Swiftmailer-Versionen betroffen. Einen Fix werden wir nicht zur Verfügung zu stellen.

    In Contao 2.11.17 wird der Swiftmailer in Version 4.2.1 benutzt - aktuell wäre die Version 5.4.5 (inkl. Patch). Eine Variante wäre es, die Version manuell zu aktualisieren. Dazu kann man den Inhalt des Verzeichnisses /plugins/swiftmailer in Contao 2.11.17 mit dem Inhalt der aktuellen Version vom Swiftmailer auf Github aus /lib ersetzen. Ob das funktioniert, können wir aber nicht sagen. Die Versionen liegen schon sehr weit auseinander.

    fg
    nicky