Vor ungefähr einer Woche wurde von einem User über die interne Security-Mailingliste eine eventuelle Sicherheitslücke gemeldet. Leo Feyer und sein Team haben sich dieser Sache sofort angenommen und den Sachverhalt geprüft. Bei ihrer Prüfung mussten sie das Sicherheitsproblem leider bestätigen. Umgehend hat sich das Team um eine Lösung bemüht. Hierbei wurde ein weiteres Problem aufgedeckt und ebenfalls sofort behoben.

WER ist betroffen?

Grundsätzlich sind alle 2.x, 3.x und 4.x Versionen betroffen. Erweiterungen sind nicht direkt betroffen, wenn diese zur Verarbeitung von Nutzerdaten (aus Formularen o.ä.) auf die Contao Funktionen zurückgreifen. Erweiterungen, die an den Contao Funktionen vorbei arbeiten, müssen ggfs. geprüft werden.

WAS lässt sich angreifen?

Angreifen lässt sich prinzipiell jede Installation. Besonders angreifbar sind Websites mit Eingabemasken. Unsere Empfehlung: Fixt zuerst Installationen, die über eine Suche oder ein Kontaktformular verfügen und danach den Rest.

Unter Contao 3.x/4.x lassen sich die Contao Benutzer und Website Besucher mit XSS Attacken angreifen.

Contao 2.x lässt sich nicht mit XSS angreifen, ein Update ist trotzdem empfohlen.

Die Contao 2.x/3.x/4.x Installation selbst (auf PHP oder Datenbankebene Ebene) und der Server ist NICHT angreifbar.

WIE kann ich dieses Problem beheben?

Mit der Installation/einem Update von/auf Contao 3.3.7 bzw. 3.2.16 gibt es bei den Contao Core-Funktionen aktuell keine bekannte Angriffsfläche mehr. ACHTUNG: Extensions von Drittanbietern könnten eventuell betroffen sein und somit Eure gesamte Contao-Installation gefährden. Dies kann man aber nur im individuellen Fall entscheiden. Bitte kontaktiert ggfs. Eure Extension-Entwickler, um dies zu entscheiden.

Damit Ihr nun nicht Eure kompletten Websites auf die jeweils aktuellsten Contao-Versionen updaten müsst, stellen wir Euch nachfolgend verschiedene Patchpakete für verschiedene Contao-Versionen zur Verfügung. Dazu müsst Ihr Euch einfach das passende Paket herunterladen und dann die jeweiligen Dateien auf Eurer Website ersetzen.

Wir stellen Euch nachfolgend verschiedene Patch-Pakete zur Verfügung. Diese gelten ausschließlich für die jüngste Version aus den jeweiligen Minor-Zweigen 3.0 und 3.1. Solltet Ihr noch nicht auf der jeweils jüngsten Version sein, ist ein Update unumgänglich.

Die benötigten Patch-Pakete erhaltet ihr hier.

Die Benutzung dieser Bugfix-Versionen geschieht auf eigene Gefahr. Sie wurden von uns getestet und geprüft. Aber es kann immer sein, das sich ein Fehler eingeschlichen hat. Deswegen wird (wie immer) angeraten, ein Backup der Installation vor dem Einspielen vorzunehmen.

Bitte beachtet weiterhin, dass dies inoffizielle Patch-Files sind und somit vom Contao Core Team nicht supported werden!