Sicherheitsupdates

„Keine Software ist total fehlerfrei“

… und das gilt leider auch für das Contao CMS.

In den letzten Jahren wurde die ein oder andere Sicherheitslücke in Contao entdeckt. Hier stellen wir euch die Sicherheitslücken kurz vor und bieten euch gleichzeitig Updates für ältere Contao Installationen an.

Die Sicherheitslücken

Sicherheitslücken
Version Veröffentlichung Beschreibung
soa 10.02.2014 Unserialize-Object Angriff, siehe #6695
soa-hardening 13.02.2014 Backport Hardenings aus 3.2.7/2.11.16 in ältere Versionen.
xss 17.02.2014 Backport potentielle XSS Lücke von 2.10.2 in ältere Versionen.
moo 18.02.2014 Update Mootools Core+More auf 1.3.2.
(Dies ist kein Sicherheitsupdate, sondern ein Kompatibilitätsupdate)
xss2 25.11.2014 Backport XSS Lücke aus 3.3.7/3.2.16 in ältere Versionen.
dt 25.11.2014 Backport potentielle Directory-Traversal-Sicherheitslücke aus 3.3.7/3.2.16 in ältere Versionen.

In unseren Updates hängen wir die integrierten Patches an die Version ran. Wenn Ihr eines unserer Updates einspielt, dann ändert sich eure Versionsnummer wie folgt: 3.1.5-cca.soa.soa-hardening. Diese Version beinhaltet die Bugfixes soa und soa-hardening. Sollte ein Bugfix aus der obrigen Liste nicht in der Versionsnummer zu finden sein, dann benötigt ihr ggf. ein Update. Aber nicht alle Bugfixes sind für alle Contao Versionen relevant!

Update für ältere Contao Versionen

Achtung/Haftungsausschluss

Die Benutzung dieser Bugfix-Versionen geschieht auf eigene Gefahr. Sie wurden von uns getestet und geprüft. Aber es kann immer sein, das sich ein Fehler eingeschlichen hat. Deswegen wird (wie immer) angeraten, ein Backup der Installation vor dem Einspielen vorzunehmen.

Bitte beachtet weiterhin, dass dies inoffizielle Patch-Files sind und somit vom Contao Core Team nicht supported werden!

Wir empfehlen dennoch, wenn möglich, auf die LTS-Versionen von Contao zu aktualisieren. Durch unsere Patch-Files könnt ihr mit dem Kunden gemeinsam die Sache beruhigter angehen und genau planen wie ihr das Update auf die die neueste Version vornehmt.

Contao 3.x

3.3.6-cca.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 3.3.6
3.2.15-cca.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 3.2.15
Contao 3.1.5-cca.soa.soa-hardening.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 3.1.5
Contao 3.0.6-cca.soa.soa-hardening.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 3.0.6

Contao 2.x

Contao 2.11.17-cca.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 2.11.17
Contao 2.10.4-cca.soa.soa-hardening.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 2.10.4
Contao 2.9.5-cca.soa.soa-hardening.xss.moo.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Contao 2.9.5

Typolight 2.x

Typolight 2.8.4-cca.soa.soa-hardening.xss.moo.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Typolight 2.8.4
Typolight 2.7.7-cca.soa.soa-hardening.xss.moo.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Typolight 2.7.7
Typolight 2.6.8-cca.soa.soa-hardening.xss.moo.xss2.dt (Komplett-Installation inkl. Patch-Files)
NUR Patch-Files für Typolight 2.6.8

Anwendungsbeispiele:

Fall 1: Wenn Ihr Contao 2.10.3 habt, dann solltet Ihr die Komplettinstallation von uns nehmen und damit direkt ein Update auf Contao 2.10.4 durchführen.
 
Fall 2: Ihr habt bereits die Version 2.10.4, dann müsst Ihr lediglich die jeweiligen Patch-Files per FTP in Eure Contao-Installation kopieren.