Contao-Sicherheitsupdates
von Nicole Weiß
November 2024
Am 06.11. und 13.11.2024 wurden mehrere Sicherheitsupdates für Symfony veröffentlicht. Symfony ist das Framework, auf dem Contao aufbaut, daher ist Contao von diesen Sicherheitslücken ebenfalls betroffen.
Alle Contao 4- und Contao 5-Installationen sollten daher über den Contao-Manager aktualisiert werden.
Eine Auflistung der geschlossenen Lücken gibt es bei den Symfony-Sicherheitshinweisen .
Gerne unterstütze ich Sie bei den erforderlichen Updates, damit Ihre Contao-Installation stets sicher bleibt.
September 2024
Am Dienstag, den 17.09.2024, wurden Sicherheitsupdates für die Contao-Versionen 4.13, 5.3 und 5.4 veröffentlicht, die mehrere Sicherheitslücken schließen.
- Backend: Upload bösartiger Dateien über den Dateimanager und deren Ausführung.
Offizielle Newsmeldung zu CVE-2024-45398 - Frontend: Einschleusung von Insert-Tags in Canonical-URLs.
Offizielle Newsmeldung zu CVE-2024-45612 - Backend: Auflistung von Dateien außerhalb des Filemounts bzw. des Document Roots.
Offizielle Newsmeldung zu CVE-2024-45604
Da die Schwere einer der drei Sicherheitslücken als “hoch” eingestuft wurde, ist diesmal ein zeitnahes Update noch dringender angeraten.
Eine Einschätzung des Risikos der einzelnen Sicherheitslücken kann in der Contao-Sicherheitsrichtlinie auf GitHub nachgelesen werden.
Ich stehe Ihnen gerne zur Verfügung, um bei den erforderlichen Updates zu unterstützen und sicherzustellen, dass Ihre Contao-Installation stets auf dem neuesten Stand ist.
Was ist jetzt zu tun?
Alle betroffenen Contao-Installationen sollten zeitnah aktualisiert werden!
Betroffene Versionen sind im aktuellen Fall:
- Contao-Versionen 5.4 bis 5.4.2
- Contao-Versionen 5.0 bis 5.3.14
- Contao-Versionen 4.0 bis 4.13.48
Wenn Sie Contao 5.4 oder neuer nutzen, verwenden Sie eine Version zwischen zwei LTS-Versionen (Long Term Support).
Zwischenversionen haben nach dem Release nur ein halbes Jahr aktiven Support. Daher sind regelmäßige Updates, sowohl einfache Patches als auch Minor-Updates (z. B. von 5.4 auf 5.5), notwendig.
Ich setze daher für meine Kunden auf die stabile LTS-Version 5.3 und wechsle mit dem Release von 5.7 Anfang 2026 auf die nächste LTS-Version.
Natürlich unterstütze ich Sie auch sehr gerne bei der neuesten Contao-Version.
Das ist großartig, denn das bedeutet, dass Sie mit Contao 5.3 eine aktuelle LTS-Version nutzen. LTS steht für Long Term Support, also „Langzeitunterstützung“. Diese speziellen Contao-Versionen erhalten über einen längeren Zeitraum Updates und Sicherheitsupdates. Contao 5.3 wird nach dem Release Anfang 2024 drei Jahre lang mit Bugfixes und neuen Funktionen versorgt. Anschließend erhält diese Version ein weiteres Jahr lang noch sicherheitsrelevante Updates. Insgesamt sind Sie also vier Jahre lang mit dieser LTS-Version gut geschützt, sofern Sie die wichtigen Updates durchführen.
Kleine Updates (Bugfixes) innerhalb einer Version sind in der Regel problemlos machbar, vorausgesetzt, es handelt sich um eine updatesichere Contao-Version und Sie haben einen geeigneten Hoster. Vor jedem Update ist es wichtig, ein vollständiges Backup der notwendigen Dateien und der Datenbank zu erstellen.
Ich setze neue Projekte nun ausschließlich mit Contao 5.3 um.
Falls Sie Unterstützung bei der Wartung Ihrer Contao-Seite benötigen, stehe ich Ihnen gerne zur Verfügung. Kontaktieren Sie mich einfach.
Das ist gut, denn das heißt, Sie verwenden eine aktuelle LTS-Version. LTS steht für Long Term Support, also „Langzeitunterstützung“. Das sind spezielle Contao-Versionen, durch die über einen längeren Zeitraum Updates und Sicherheitsupdates bereitgestellt werden. Eine Contao-LTS-Version erhält 3 Jahre lang Updates. Für weitere 12 Monate wird diese Version dann noch mit sicherheitsrelevanten Updates versorgt. Alles in allem sind Sie 4 Jahre lang mit einer solchen LTS-Version sicher, sofern Sie die wichtigen Updates auch durchführen.
Der Supportzeitraum für Contao 4.13 geht noch bis Anfang 2026. Die neueste LTS, Contao 5.3, ist nun seit Anfang 2024 aktiv, ein Update bietet sich hier an.
Kleine Updates (Bugfixes) innerhalb einer Version, z. B. 4.13.14 auf 4.13.28, sind in der Regel problemlos machbar, vorausgesetzt, es handelt sich um eine updatesichere Contao-Version und Sie haben einen geeigneten Hoster! In jedem Fall ist es wichtig, vor dem Update ein vollständiges Backup der notwendigen Dateien und der Datenbank zu erstellen!
Für meine Kunden setze ich immer auf LTS-Versionen.
Falls Sie Unterstützung bei der Wartung Ihrer Contao-Seite benötigen, stehe ich Ihnen gerne zur Verfügung. Kontaktieren Sie mich einfach.
In diesem Fall ist ein Update ebenso dringend, wenn nicht sogar dringender, da je nach genauer Version auch weitere/andere offene Sicherheitslücken vorhanden sein können.
Das Update gestaltet sich jedoch aufwändiger. Versionsübergreifende Updates, wie von Contao 4.5 auf Contao 4.13 (Minor-Update) oder gar von Contao 3.5 auf Contao 4.13 (Major-Update), sollten in einer Entwicklungskopie durchgeführt werden. Je nach Versionssprung können Anpassungen am Theme oder den eingesetzten Erweiterungen nötig sein.
Der genaue Aufwand hängt von vielen Faktoren ab. Eine allgemeingültige Aussage ist daher nicht möglich. Gerne sehe ich mir Ihre Seite an und mache Ihnen anschließend ein Angebot für das Update. Unter Kontakt finden Sie alle Möglichkeiten, um mich zu erreichen
Gerne unterstütze ich Sie bei Ihrem Update/Ihren Updates
Kontaktieren Sie michWeiterführende Links
Frühere Sicherheitsupdates
Am 09.04.2024 wurden Sicherheitsupdates für Contao 4.13 und 5.3 veröffentlicht die gleich 5 Sicherheitslücken schließen.
- Backend-Benutzer: Über Dateinamen konnten Benutzer bösartigen Code einfügen, der dann im Frontend ausgegeben wurde.
Offizielle Newsmeldung zu CVE-2024-28190 - Formulare: Über die Ausgabe von übermittelten Formulardaten war es möglich, Insert-Tags einzuschleusen.
Offizielle Newsmeldung zu CVE-2024-28191 - Kommentare: Wenn in den Kommentaren BBCode zugelassen war, konnten Benutzer dadurch CSS-Stile einbringen.
Offizielle Newsmeldung zu CVE-2024-28234 - Geschützte Seiten: Beim Crawlen geschützter Seiten wurde der Cookie-Header an externe URLs gesendet.
Offizielle Newsmeldung zu CVE-2024-28235 - Frontend-Benutzer: Bei der Passwort-Änderung eines Frontend-Mitglieds wurde der Remember-Me-Token nicht entfernt.
Offizielle Newsmeldung zu CVE-2024-30262
Wenn eine der genannten Contao-Funktionen aktiv genutzt wird, ist ein zeitnahes Update dringend empfohlen. Aber auch unabhängig davon, ist es immer eine gute Idee, aktive Contao-Installationen up-to-date zu halten.
Eine Einschätzung zum Risiko der jeweiligen Lücken ist in der Contao-Sicherheitsrichtlinie auf GitHub zu finden.
Gerne unterstütze ich bei den notwendigen Updates.
Mit den am 25.07.2023 veröffentlichten Contao-Versionen 4.9.42, 4.13.28 und 5.1.10 wurde eine Sicherheitslücke geschlossen, mit der von angemeldeten Backend-Benutzern Schadcode eingeschleust werden konnte, der dann sowohl im Backend als auch im Frontend ausgeführt wurde.
Am 25.04.2023 wurde ein Sicherheitsupdate für Contao 4.9, 4.13 und 5.1 veröffentlicht.
Geschlossen ist die Sicherheitslücke mit einem Update auf 4.9.40, 4.13.21 bzw 5.1.4.
Angemeldeten Backend-Benutzern war es möglich in der Dateiverwaltung Dateien außerhalb des Document-Root aufzulisten. Es war jedoch nicht möglich, den Inhalt dieser Dateien zu lesen.
Am 05.05.2022 wurde ein Sicherheitsupdate für Contao 4.13 veröffentlicht.
Benutzern war es möglich über die neue Canonical-Tag-Funktion Schadcode einzuschleusen, welcher dann im Frontend ausgeführt wurde.
Betroffen sind die Contao-Versionen 4.13 bis 4.13.2
Am Mittwoch, dem 11.08.2021, wurden 3 neue Contao-Versionen (4.4.56, 4.9.18 und 4.11.7) veröffentlicht die mögliche Sicherheitslücken schließen.
Die gefundenen Schwachstellen sind nur für Backend-Benutzer ausnutzbar.
Betroffen sind alle bis dato veröffentlichten Contao 4-Versionen.
Folgendes wurde behoben:
- Backend-Benutzer hatten die Möglichkeit durch den Formulargenerator an Administratoren-Rechte zu gelangen.
Newsmeldung zu CVE-2021-37627 - Backend-Benutzer hatten die Möglichkeit beliebige PHP-Dateien mittels Insert-Tag einzubinden.
Newsmeldung zu CVE-2021-37626 - Backend-Benutzer, die das Recht haben HTML-Felder zu bearbeiten, konnten Schadcode in den HTML-Code der Webseite einfügen.
Newsmeldung zu CVE-2021-35955
Ein neues, kritisches Sicherheitsupdate wurde am Mittwoch, den 23. Juni 2021, veröffentlicht. Eine Sicherheitslücke ermöglichte das Cross-Site-Scripting im System-Log.
Der Angreifer muss dazu keinen Zugang zum Backend haben. Der eingeschleuste Code wird beim Aufruf des Systemlogs im Backend ausgeführt. Es betrifft also Backend-Benutzer.
Betroffen sind alle Contao Versionen ab 4.5. Behoben wird diese Lücke mit einem Update auf Contao 4.9.16 oder 4.11.5.
Zur offiziellen Newsmeldung auf contao.org
Newsmeldung zu CVE-2021-35210
Cross-Site-Scripting – kurz XSS:
Bei harmlosen Varianten handelt es sich beispielsweise um aufpoppende Willkommensgrüße, die lediglich etwas lästig sind. Im schlimmsten Fall erlangen Angreifer mithilfe solcher Skripte aber auch vertrauliche Informationen oder Zugriff auf den Computer des geschädigten Users.
Quelle: IONOS Digital Guide
Am 24. September 2020 wurde ein sicherheitsrelevantes Update für Contao veröffentlichet. Betroffen sind alle bisherigen Contao 4-Versionen, d.h. Contao 4.0 bis Contao 4.10.0.
Es war möglich Insert-Tags in Formulare einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
Die Lücke wurde in Contao-Version 4.4.52, 4.9.6 bzw. 4.10.1 geschlossen.
Zur offiziellen Newsmeldung auf contao.org
Newsmeldung zu CVE-2020-25768
Am 17. Dezember 2019 wurden sicherheitsrelevante Updates für Contao veröffentlichet. Betroffen sind alle bisherigen Contao 4-Versionen, d.h. Contao 4.0 bis Contao 4.8.5.
- Die Lücken wurden mit Contao-Version 4.4.46 bzw. 4.8.6 geschlossen.
Zur offiziellen Newsmeldung auf contao.org
Folgende Sicherheitslücken wurden geschlossen:
- Uneingeschränkte Datei-Uploads eines Backend-Benutzers mit Zugriff auf den Formulargenerator. Eine Kontrolle der erlaubten Dateitypen in den Datei-Upload-Feldern des Formulargenerators ist nötig!
Newsmeldung zu CVE-2019-19745 - Backend-Benutzer können sich durch Manipulation der URL Inhalte anzeigen lassen, für die sie nicht freigeschaltet sind.
Newsmeldung zu CVE-2019-19712 - Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
Newsmeldung zu CVE-2019-19714
Am 30.04.2019 wurde eine SQL-Injection-Sicherheitslücke im Dateimanager geschlossen. Die Lücke betrifft nur Contao 4.
- Das Problem wurde in Contao 4.4.39 und Contao 4.7.5 behoben.
Zur offiziellen Newsmeldung auf contao.org
Die am 09. April 2019 veröffentlichten Contao-Versionen 3.5.39, 4.4.37 und 4.7.3 schließen mehrere Sicherheitslücken.
- Newsmeldung zu CVE-2019-10641 (Contao 3.5.39, Contao 4.4.37 and Contao 4.7.3.)
- Newsmeldung zu CVE-2019-10642 (Contao 4.7.3)
- Newsmeldung zu CVE-2019-10643 (Contao 4.7.3.)
Bei den LTS-Versionen 3.5 und 4.4 werden nun nach einer Passwortänderung alle bestehenden Sitzungen ungültig, dadurch wird eine erneute Anmeldung mit dem neuen Passwort erforderlich.
Unter der Nummer CVE-2018-20028 wurde eine Sicherheitslücke in Contao veröffentlicht, die es angemeldeten Backend-Benutzern ermöglicht, für sie nicht freigegebene Datensätze einzusehen.
- Das Problem wurde in Contao 3.5.37, Contao 4.4.31 und Contao 4.6.11 behoben.
Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Die Sicherheitslücke befindet sich nicht direkt in Contao selbst sondern in einer von Contao genutzten PHP-Bibliothek zur Erstellung von PDF-Dokumenten.
- Die Contao-Versionen 4.4.25 und 4.6.4 enthalten das explizite Version-Constraint ^6.2.22 für TCPDF.
- Für Contao 3.5 wurde das Problem in der Version 3.5.36 behoben.