Mit Updates und Bugfixes wurden wir in den letzten Tagen nicht verschont. Erst der schnelle Hotfix für das Frontend, dann der eigentlich finale Bugfix für die gesamte Sicherheitslücke und jetzt noch ein Bugfix für den Bugfix - und das innerhalb von einer Woche. Alles was wir in den letzten Monaten und Jahren gut umschifft haben, trifft uns jetzt etwas mehr.

Warum?

Dank eines professionellen Sicherheitstester und durch bekannte Entwickler aus der Community wurde dem Contao-Team die Sicherheitslücke mitgeteilt und nicht durch unseriöse Quellen, die diese vielleicht ausgenutzt hätten. Auf Grund der schnellen Reaktionszeit und der Bereitstellung der Patches sind wir alle von größeren Problemen verschont geblieben. Und trotz der vielen Updates - schlussendlich geht es hier um die Sicherheit eurer Websites.

Aufgrund der schwerwiegenden Sicherheitslücke wurde in den letzten zwei Tagen und Nächten nach einer Lösung gesucht und ein entsprechender Bugfix veröffentlicht (Ankündigung auf contao.org). Leider wurde dann aber ein weiterer Weg gefunden, diesen Fix zu umgehen und erneut Schadcode ausführen zu lassen.

Problemlösung?

Damit auch weiterhin so viele Contao Installationen wie möglich abgesichert werden können, stellen wir als CCA (Contao Community Alliance) euch wieder Backport-Pakete bereit. So könnt ihr einfach und schnell die Patch-Files auch in den verschiedensten Contao-Versionen installieren.

Wir hoffen, dass es nun die vorerst letzten Patch-Files zu diesem Problem sein werden.

Aufgrund der schwere der Sicherheitslücke haben wir eine extra Unterseite eingerichtet auf der wir euch fortlaufend mit den neuesten Updates versorgen werden. Verlinkt diese Seite, wenn es um das Thema geht, und schickt sie an befreundete Contao-Nutzer. Je mehr Contao-Nutzer informiert sind, desto sicherer werden auch wieder alle Contao-Installationen!