Contao-Sicherheitsupdates
von Nicole Weiß
April 2024
Am 09.04.2024 wurden Sicherheitsupdates für Contao 4.13 und 5.3 veröffentlicht die gleich 5 Sicherheitslücken schließen.
- Backend-Benutzer: Über Dateinamen konnten Benutzer bösartigen Code einfügen, der dann im Frontend ausgegeben wurde.
Offizielle Newsmeldung zu CVE-2024-28190 - Formulare: Über die Ausgabe von übermittelten Formulardaten war es möglich, Insert-Tags einzuschleusen.
Offizielle Newsmeldung zu CVE-2024-28191 - Kommentare: Wenn in den Kommentaren BBCode zugelassen war, konnten Benutzer dadurch CSS-Stile einbringen.
Offizielle Newsmeldung zu CVE-2024-28234 - Geschützte Seiten: Beim Crawlen geschützter Seiten wurde der Cookie-Header an externe URLs gesendet.
Offizielle Newsmeldung zu CVE-2024-28235 - Frontend-Benutzer: Bei der Passwort-Änderung eines Frontend-Mitglieds wurde der Remember-Me-Token nicht entfernt.
Offizielle Newsmeldung zu CVE-2024-30262
Wenn eine der genannten Contao-Funktionen aktiv genutzt wird, ist ein zeitnahes Update dringend empfohlen. Aber auch unabhängig davon, ist es immer eine gute Idee, aktive Contao-Installationen up-to-date zu halten.
Eine Einschätzung zum Risiko der jeweiligen Lücken ist in der Contao-Sicherheitsrichtlinie auf GitHub zu finden.
Gerne unterstütze ich bei den notwendigen Updates.
Was ist jetzt zu tun?
Alle betroffenen Contao-Installationen sollten zeitnah aktualisiert werden!
Betroffene Versionen sind im aktuellen Fall:
- Contao-Versionen 5.0 bis 5.3.3
- Contao-Versionen 4.0 bis 4.13.39
Contao 5 ist die neuste Version, hier gibt es seit Februar 2024 mit Contao 5.3 die erste LTS-Version. Da diese Version noch sehr jung ist, werden Sie normalerweise noch häufig Updates machen müssen und kennen sich daher sicher aus. Ich selbst setze nun die ersten neuen Projekte mit Contao 5.3 um.
Natürlich unterstütze ich Sie auch sehr gerne bei der neusten Contao-Version.
Das ist sehr gut, denn das heißt Sie verwenden eine aktuelle LTS-Version. LTS steht für Long Term Support, also "Langzeitunterstützung". Das sind spezielle Contao-Versionen durch die über einen längeren Zeitraum aktualisiert und mit Sicherheitsupdates versorgt werden. Eine Contao-LTS-Version bekommt 2 Jahre lang neben Bugfix- und Sicherheitsupdates auch funktionelle Updates, also neue Funktionen. Für weitere 2 Jahre wird diese Version dann noch mit sicherheitsrelevanten Updates versorgt. Alles in allem sind Sie 4 Jahre lang mit einer solchen LTS-Version sicher, sofern Sie die wichtigen Updates auch durchführen.
Kleine Updates (Bugfix) innerhalb einer Version, z. B. 4.13.14 auf 4.13.28, sind in der Regel (!) problemlos machbar. Eine updatesichere Contao-Version und einen geeigneten Hoster vorausgesetzt! In jedem Fall vor dem Update ein vollständiges Backup der notwendigen Dateien und der Datenbank erstellen!
Für meine Kunden setze ich immer auf LTS-Versionen.
Falls Sie Unterstützung bei der Wartung Ihrer Contao-Seite benötigen, stehe ich Ihnen gerne zur Verfügung. Kontaktieren Sie mich einfach.
In diesem Fall ist ein Update ebenso dringend, wenn nicht sogar dringender, da je nach genauer Version auch weitere/andere offene Sicherheitslücken vorhanden sein können.
Das Update gestaltet sich jedoch aufwändiger. Versionsübergreifende Updates, wie von Contao 4.5 auf Contao 4.13 (Minor-Update) oder gar von Contao 3.5 auf Contao 4.13 (Major-Update), sollten in einer Entwicklungskopie durchgeführt werden. Je nach Versionssprung können Anpassungen am Theme oder den eingesetzten Erweiterungen nötig sein.
Der genaue Aufwand hängt von vielen Faktoren ab. Eine allgemeingültige Aussage ist daher nicht möglich. Gerne sehe ich mir Ihre Seite an und mache Ihnen anschließend ein Angebot für das Update. Unter Kontakt finden Sie alle Möglichkeiten, um mich zu erreichen
Gerne unterstütze ich Sie bei Ihrem Update/Ihren Updates
Kontaktieren Sie michWeiterführende Links
Frühere Sicherheitsupdates
Mit den am 25.07.2023 veröffentlichten Contao-Versionen 4.9.42, 4.13.28 und 5.1.10 wurde eine Sicherheitslücke geschlossen, mit der von angemeldeten Backend-Benutzern Schadcode eingeschleust werden konnte, der dann sowohl im Backend als auch im Frontend ausgeführt wurde.
Am 25.04.2023 wurde ein Sicherheitsupdate für Contao 4.9, 4.13 und 5.1 veröffentlicht.
Geschlossen ist die Sicherheitslücke mit einem Update auf 4.9.40, 4.13.21 bzw 5.1.4.
Angemeldeten Backend-Benutzern war es möglich in der Dateiverwaltung Dateien außerhalb des Document-Root aufzulisten. Es war jedoch nicht möglich, den Inhalt dieser Dateien zu lesen.
Am 05.05.2022 wurde ein Sicherheitsupdate für Contao 4.13 veröffentlicht.
Benutzern war es möglich über die neue Canonical-Tag-Funktion Schadcode einzuschleusen, welcher dann im Frontend ausgeführt wurde.
Betroffen sind die Contao-Versionen 4.13 bis 4.13.2
Am Mittwoch, dem 11.08.2021, wurden 3 neue Contao-Versionen (4.4.56, 4.9.18 und 4.11.7) veröffentlicht die mögliche Sicherheitslücken schließen.
Die gefundenen Schwachstellen sind nur für Backend-Benutzer ausnutzbar.
Betroffen sind alle bis dato veröffentlichten Contao 4-Versionen.
Folgendes wurde behoben:
- Backend-Benutzer hatten die Möglichkeit durch den Formulargenerator an Administratoren-Rechte zu gelangen.
Newsmeldung zu CVE-2021-37627 - Backend-Benutzer hatten die Möglichkeit beliebige PHP-Dateien mittels Insert-Tag einzubinden.
Newsmeldung zu CVE-2021-37626 - Backend-Benutzer, die das Recht haben HTML-Felder zu bearbeiten, konnten Schadcode in den HTML-Code der Webseite einfügen.
Newsmeldung zu CVE-2021-35955
Ein neues, kritisches Sicherheitsupdate wurde am Mittwoch, den 23. Juni 2021, veröffentlicht. Eine Sicherheitslücke ermöglichte das Cross-Site-Scripting im System-Log.
Der Angreifer muss dazu keinen Zugang zum Backend haben. Der eingeschleuste Code wird beim Aufruf des Systemlogs im Backend ausgeführt. Es betrifft also Backend-Benutzer.
Betroffen sind alle Contao Versionen ab 4.5. Behoben wird diese Lücke mit einem Update auf Contao 4.9.16 oder 4.11.5.
Zur offiziellen Newsmeldung auf contao.org
Newsmeldung zu CVE-2021-35210
Cross-Site-Scripting – kurz XSS:
Bei harmlosen Varianten handelt es sich beispielsweise um aufpoppende Willkommensgrüße, die lediglich etwas lästig sind. Im schlimmsten Fall erlangen Angreifer mithilfe solcher Skripte aber auch vertrauliche Informationen oder Zugriff auf den Computer des geschädigten Users.
Quelle: IONOS Digital Guide
Am 24. September 2020 wurde ein sicherheitsrelevantes Update für Contao veröffentlichet. Betroffen sind alle bisherigen Contao 4-Versionen, d.h. Contao 4.0 bis Contao 4.10.0.
Es war möglich Insert-Tags in Formulare einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
Die Lücke wurde in Contao-Version 4.4.52, 4.9.6 bzw. 4.10.1 geschlossen.
Zur offiziellen Newsmeldung auf contao.org
Newsmeldung zu CVE-2020-25768
Am 17. Dezember 2019 wurden sicherheitsrelevante Updates für Contao veröffentlichet. Betroffen sind alle bisherigen Contao 4-Versionen, d.h. Contao 4.0 bis Contao 4.8.5.
- Die Lücken wurden mit Contao-Version 4.4.46 bzw. 4.8.6 geschlossen.
Zur offiziellen Newsmeldung auf contao.org
Folgende Sicherheitslücken wurden geschlossen:
- Uneingeschränkte Datei-Uploads eines Backend-Benutzers mit Zugriff auf den Formulargenerator. Eine Kontrolle der erlaubten Dateitypen in den Datei-Upload-Feldern des Formulargenerators ist nötig!
Newsmeldung zu CVE-2019-19745 - Backend-Benutzer können sich durch Manipulation der URL Inhalte anzeigen lassen, für die sie nicht freigeschaltet sind.
Newsmeldung zu CVE-2019-19712 - Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
Newsmeldung zu CVE-2019-19714
Am 30.04.2019 wurde eine SQL-Injection-Sicherheitslücke im Dateimanager geschlossen. Die Lücke betrifft nur Contao 4.
- Das Problem wurde in Contao 4.4.39 und Contao 4.7.5 behoben.
Zur offiziellen Newsmeldung auf contao.org
Die am 09. April 2019 veröffentlichten Contao-Versionen 3.5.39, 4.4.37 und 4.7.3 schließen mehrere Sicherheitslücken.
- Newsmeldung zu CVE-2019-10641 (Contao 3.5.39, Contao 4.4.37 and Contao 4.7.3.)
- Newsmeldung zu CVE-2019-10642 (Contao 4.7.3)
- Newsmeldung zu CVE-2019-10643 (Contao 4.7.3.)
Bei den LTS-Versionen 3.5 und 4.4 werden nun nach einer Passwortänderung alle bestehenden Sitzungen ungültig, dadurch wird eine erneute Anmeldung mit dem neuen Passwort erforderlich.
Unter der Nummer CVE-2018-20028 wurde eine Sicherheitslücke in Contao veröffentlicht, die es angemeldeten Backend-Benutzern ermöglicht, für sie nicht freigegebene Datensätze einzusehen.
- Das Problem wurde in Contao 3.5.37, Contao 4.4.31 und Contao 4.6.11 behoben.
Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Die Sicherheitslücke befindet sich nicht direkt in Contao selbst sondern in einer von Contao genutzten PHP-Bibliothek zur Erstellung von PDF-Dokumenten.
- Die Contao-Versionen 4.4.25 und 4.6.4 enthalten das explizite Version-Constraint ^6.2.22 für TCPDF.
- Für Contao 3.5 wurde das Problem in der Version 3.5.36 behoben.