Sicherheitslücke in Contao entdeckt
Gestern erhielt Contao aufgrund einer Sicherheitslücke in einer PHP-Klasse ein neues Update. TCPDF heißt die Open-Source Software Klasse, die in Contao für das Erzeugen von PDF Dokumenten genutzt wird und in der die Schwachstelle ausfindig gemacht wurde.
Es handelt sich hierbei um eine sogenannte Code-Execution Lücke. In diesem Fall konnten angemeldete Backend User durch eine manipulierte Bilddatei beliebigen Code in das System einschleusen. Dieser wurde dann ausgeführt, wenn ein Artikel im Frontend als PDF exportiert wird. Gepatcht wurde das ganze vom TCPDF Entwickler in Version 6.2.2 der PHP-Klasse. Contao 3.5 erhielt das Update in Form einer neuen Version: 3.5.36. In Contao 4 hingegen kann die Lücke über den Contao Manager geschlossen werden, indem die Abhängigkeiten aktualisiert werden. In den neuen Contao-Versionen 4.4.25 und 4.6.4 ist das TCPDF Update bereits integriert. Alle Infos zu der Lücke gibt es auch auf contao.org.
Es gibt also Mittel und Wege, sich das Update in die eigene Umgebung einzuspielen. Da es sich hier um ein Sicherheitsupdate handelt, von dem die Details bekannt sind, empfehlen wir Ihnen das auch zeitnah zu tun. Das passende Contao Hosting für Ihre Webumgebung finden Sie bei DM Solutions.
Tags:Contao 3.5, Contao 4, Contao Umgebung, Sicherheitslücke, Sicherheitsupdate
