Sicherheitsaspekt 4.9.12

[bodil]

Vor wenigen Minuten haben wir die neue Version 4.9.12 von CONTENIDO veröffentlicht. Das Update schließt zwei kürzlich bekannt gewordene Sicherheitslücken und wir empfehlen, das Update zeitnah durchzuführen.

http://forum.contenido.org/viewtopic.php?f=25&t=36936 (frederic.schneider_4fb » Do 20. Okt 2016, 10:02)

Dazu habe ich drei Fragen:

• 1. Die Sicherheitslücken betreffen den Formular-Assistenten und die Usernamen von Frontend-Usern. Brauche ich das Update auch dann, wenn der Formular-Assistent nicht installiert ist und es keine Anmeldemöglichkeit für Frontenduser vorgesehen ist? (Sprich: reicht es, dass veraltete Dateien auf dem Server rumliegen, um ein Sicherheitsrisiko zu haben?)
  2. Kann jemand einzelne Dateien benennen, die man tauschen muss, um die Sicherheitslücke zu schließen?
  3. Ab welcher Versionsnummer existieren diese Sicherheitslücken?

Vielen Dank!
Bodil

[rethus]

Grundsätzlich solltest du das CMS in den Patchversionen immer aktuell halten.
Auf jeden Fall solltest du ein vollständiges Upgrade durchführen, wenn du Contenido in der Version 4.9.6 - 4.9.9 betreibst.

Leider bietet Contenido bis dato keine "einfache" Patchlösung, sondern erfordert immer einen beträchtlichen Aufwand indem man alte Verzeichnisse umbenennen, und eine gesamte Contenido-Installation auf den Server laden muss. Klar, das ist nicht zeitgemäß, aber derzeit der einzige Weg. Im oben beschriebenen Fall ist das Upgrade jede Mühe wert und dringend empfohlen.

Abgesehen von besagtem Zeitaufwand, ist das Upgrade innerhalb der 4.9er Version meiner Erfahrung nach sehr unkompliziert.

Was in den Versionen behoben wurde kannst du aus der GIT-Repo sehen... ein Backup ist hier aber einfacher.

Solltest du mit dem Gedanken spielen, einfach ein Diff zwischen einer alten und einer aktuellen Contenido-Version zu machen... schlaue Idee, aber vergiss es! Leider wurden extrem viele Anpassungen in Sachen Kommentare, Codeformatierungen, etc. gemacht, so das ein diff hier nicht wirklich etwas brauchbar analysierbares ausspuckt (wenn du nicht einen Lebensabend damit füllen willst, es zu analysieren)

PS: What ever you do, backup first.

[frederic.schneider_4fb]

Wir empfehlen schon aus praktischen Gründen unbedingt die Installation der aktuellsten Version. Aber auch vor dem Hintergrund dass man nie weiß, welche anderen Stellen in welcher Form auch immer, seien es auch nur individuelle Erweiterungen, derzeit oder später mal auf diese Stellen zugreifen.

Die Änderungen im Einzelnen:
- https://codeviews.contenido.org/changel ... df8a0c16a9
- https://codeviews.contenido.org/changel ... b1da3b580c
- https://codeviews.contenido.org/changel ... b710d6c9b3
- https://codeviews.contenido.org/changel ... 661de759bf
- https://codeviews.contenido.org/changel ... 7c033663ca

[bodil]

Vielen Dank für diese Rückmeldungen!
Einige Systeme, die ich betreue, laufen noch auf Version 4.8. – die kann ich dann ja zumindet so belassen.
Die Idee mit dem Diff hatte ich tatsächlich. Und es hilft tatsächlich nicht viel. Aber man kann erkennen, welche Dateien man löschen muss, nachdem man das alte Contenido mit der neusten Version übergebügelt hat.
Dann mach ich mich mal an die Arbeit!
Grüße!
B.

[rethus]

Frohes schaffen, und viel Erfolg.