Aktuelles Sicherheitsupdate

von Nicole Weiß

April 2019

Die am 09. April 2019 veröffentlichten Contao-Versionen 3.5.39, 4.4.37 und 4.7.3 schließen mehrere Sicherheitslücken.

Bei den LTS-Versionen 3.5 und 4.4 werden nun nach einer Passwortänderung alle bestehenden Sitzungen ungültig, dadurch wird eine erneute Anmeldung mit dem neuen Passwort erforderlich.

Changelogs: Contao 3.5 , Contao 4.4 , Contao 4.7

Dezember 2018

Unter der Nummer CVE-2018-20028 wurde eine Sicherheitslücke in Contao veröffentlicht, die es angemeldeten Backend-Benutzern ermöglicht, für sie nicht freigegebene Datensätze einzusehen.

  • Das Problem wurde in Contao 3.5.37, Contao 4.4.31 und Contao 4.6.11 behoben.

Zur offiziellen Newsmeldung auf contao.org

September 2018

Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Die Sicherheitslücke befindet sich nicht direkt in Contao selbst sondern in einer von Contao genutzten PHP-Bibliothek zur Erstellung von PDF-Dokumenten.

  • Die Contao-Versionen 4.4.25 und 4.6.4 enthalten das explizite Version-Constraint ^6.2.22 für TCPDF.
  • Für Contao 3.5 wurde das Problem in der Version 3.5.36 behoben.

Zur offiziellen Newsmeldung auf contao.org

Was tun?

Alle Contao-Installationen mit einer Versionsnummer von 3.5.38, 4.4.36 bzw. 4.7.2 oder kleiner sollten zeitnah aktualisiert werden.

Kleine Updates innerhalb einer Version, bspw. 3.5.21 auf 3.5.36, sind in der Regel problemlos machbar. Eine saubere updatesichere Contao-Version und ein geeigneter Hoster vorausgesetzt! Versionsübergreifende Updates, wie z. B. Contao 3.2 auf 3.5 oder gar Contao 3.5 auf Contao 4.4, sollten in einer Entwicklungskopie durchgeführt werden. Je nach Versionssprung können Anpassungen am Theme oder den eingesetzten Erweiterungen nötig sein. In jedem Fall vor dem Update ein vollständiges Backup der Seite erstellen.

Unter Contao 2 und Contao 3 lässt sich ein Update am komfortabelsten mit dem Contao Live-Update durch führen. Unter Contao 4 bevorzuge ich den Contao Manager.

Ich unterstütze Sie gerne beim Update Ihrer Contao-Webseite(n). Unter Kontakt finden Sie alle Möglichkeiten um mich zu erreichen.

« zurück