Contao-Sicherheitsupdate

von Nicole Weiß

September 2020

Am 24. September 2020 wurde ein sicherheitsrelevantes Update für Contao veröffentlichet. Betroffen sind alle bisherigen Contao 4-Versionen, d.h. Contao 4.0 bis Contao 4.10.0.

Es war möglich, Insert-Tags in Formulare einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.

Die Lücke wurde in Contao-Version 4.4.52, 4.9.6 bzw. 4.10.1 geschlossen.

Zur offiziellen Newsmeldung auf contao.org
Newsmeldung zu CVE-2020-25768

Dezember 2019

Am 17. Dezember 2019 wurden sicherheitsrelevante Updates für Contao veröffentlichet. Betroffen sind alle bisherigen Contao 4-Versionen, d.h. Contao 4.0 bis Contao 4.8.5.

  • Die Lücken wurden mit Contao-Version 4.4.46 bzw. 4.8.6 geschlossen.

Zur offiziellen Newsmeldung auf contao.org

Folgende Sicherheitslücken wurden geschlossen:

  • Uneingeschränkte Datei-Uploads eines Backend-Benutzers mit Zugriff auf den Formulargenerator. Eine Kontrolle der erlaubten Dateitypen in den Datei-Upload-Feldern des Formulargenerators ist nötig!
    Newsmeldung zu CVE-2019-19745
  • Backend-Benutzer können sich durch Manipulation der URL Inhalte anzeigen lassen, für die sie nicht freigeschaltet sind.
    Newsmeldung zu CVE-2019-19712
  • Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
    Newsmeldung zu CVE-2019-19714

Was tun?

Alle Contao-Installationen mit einer Versionsnummer von 4.4.46 bzw. 4.8.6 oder kleiner sollten zeitnah aktualisiert werden. Contao 3.5-Installation bekommen seit Mai 2019 keine Sicherheitsupdates mehr und sollten ungeachtet dessen zügig auf Contao 4 upgedatet werden.

Kleine Updates innerhalb einer Version, bspw. 4.9.1 auf 4.9.5, sind in der Regel problemlos machbar. Eine saubere updatesichere Contao-Version vorausgesetzt! Versionsübergreifende Updates, wie Contao 4.1 auf Contao 4.9 oder gar Contao 3.5 auf Contao 4.9, sollten in einer Entwicklungskopie durchgeführt werden. Je nach Versionssprung können Anpassungen am Theme oder den eingesetzten Erweiterungen nötig sein. In jedem Fall vor dem Update ein vollständiges Backup der Seite erstellen.

Ich unterstütze Sie gerne beim Update Ihrer Contao-Webseite(n). Unter Kontakt finden Sie alle Möglichkeiten um mich zu erreichen.

Frühere Sicherheitsupdates

April 2019

Am 30.04.2019 wurde eine SQL-Injection-Sicherheitslücke im Dateimanager geschlossen. Die Lücke betrifft nur Contao 4.

  • Das Problem wurde in Contao 4.4.39 und Contao 4.7.5 behoben.

Zur offiziellen Newsmeldung auf contao.org

Die am 09. April 2019 veröffentlichten Contao-Versionen 3.5.39, 4.4.37 und 4.7.3 schließen mehrere Sicherheitslücken.

Bei den LTS-Versionen 3.5 und 4.4 werden nun nach einer Passwortänderung alle bestehenden Sitzungen ungültig, dadurch wird eine erneute Anmeldung mit dem neuen Passwort erforderlich.

Changelogs: Contao 3.5 , Contao 4.4 , Contao 4.7

Dezember 2018

Unter der Nummer CVE-2018-20028 wurde eine Sicherheitslücke in Contao veröffentlicht, die es angemeldeten Backend-Benutzern ermöglicht, für sie nicht freigegebene Datensätze einzusehen.

  • Das Problem wurde in Contao 3.5.37, Contao 4.4.31 und Contao 4.6.11 behoben.

Zur offiziellen Newsmeldung auf contao.org

September 2018

Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Die Sicherheitslücke befindet sich nicht direkt in Contao selbst sondern in einer von Contao genutzten PHP-Bibliothek zur Erstellung von PDF-Dokumenten.

  • Die Contao-Versionen 4.4.25 und 4.6.4 enthalten das explizite Version-Constraint ^6.2.22 für TCPDF.
  • Für Contao 3.5 wurde das Problem in der Version 3.5.36 behoben.

Zur offiziellen Newsmeldung auf contao.org

« zurück