Eine neue kritische Sicherheitslücke in Contao entdeckt
von Marc Reimann
Heute wurde in einem Ticket eine kritische Sicherheitslücke gemeldet: http://github.com/contao/core/issues/6855
Man kann über die Eingabe einer URL die pathconfig.php entfernen oder abändern, wodurch die komplette Contao Installation nicht mehr erreichbar ist oder Schadcode ausgeführt wird. Betroffen davon sind potentiell alle Contao/TYPOlight Versionen. Wir haben ein paar Möglichkeiten für euch, wie ihr verhindern könnt, das jemand diese Sicherheitslücke ausnutzt, bis ein offizieller Patch draußen ist.
Man muss dazu lediglich die install.php vor einem Aufruf zu schützen.
Hier ein paar Methoden wie ihr das machen könnt:
- die /contao/install.php komplett entfernen
- die /contao/install.php per chmod auf 000 setzen (im FTP-Programm einfach alle Rechte entziehen)
- in /contao/ eine .htaccess anlegen und darüber einen Passwort-Schutz einrichten
Natürlich werden wir euch sofort informieren, wenn wir mehr Informationen zu dieser Sicherheitslücke haben.