{"id":9140,"date":"2018-09-19T12:55:35","date_gmt":"2018-09-19T10:55:35","guid":{"rendered":"https:\/\/www.dmsolutions.de\/blog\/?p=9140"},"modified":"2018-09-19T12:55:35","modified_gmt":"2018-09-19T10:55:35","slug":"sicherheitsluecke-in-contao","status":"publish","type":"post","link":"https:\/\/www.dmsolutions.de\/blog\/sicherheitsluecke-in-contao\/","title":{"rendered":"Sicherheitsl\u00fccke in Contao entdeckt"},"content":{"rendered":"

\"Contao<\/p>\n

Gestern erhielt Contao aufgrund einer Sicherheitsl\u00fccke in einer PHP-Klasse ein neues Update. TCPDF hei\u00dft die Open-Source Software Klasse, die in Contao f\u00fcr das Erzeugen von PDF Dokumenten genutzt wird und in der die Schwachstelle ausfindig gemacht wurde.<\/p>\n

Es handelt sich hierbei um eine sogenannte Code-Execution L\u00fccke. In diesem Fall konnten angemeldete Backend User durch eine manipulierte Bilddatei beliebigen Code in das System einschleusen. Dieser wurde dann ausgef\u00fchrt, wenn ein Artikel im Frontend als PDF exportiert wird. Gepatcht wurde das ganze vom TCPDF Entwickler in Version 6.2.2 der PHP-Klasse. Contao 3.5 erhielt das Update in Form einer neuen Version: 3.5.36. In Contao 4 hingegen kann die L\u00fccke \u00fcber den Contao Manager geschlossen werden, indem die Abh\u00e4ngigkeiten aktualisiert werden. In den neuen Contao-Versionen 4.4.25 und 4.6.4 ist das TCPDF Update bereits integriert. Alle Infos zu der L\u00fccke gibt es auch auf contao.org<\/a>.<\/p>\n

Es gibt also Mittel und Wege, sich das Update in die eigene Umgebung einzuspielen. Da es sich hier um ein Sicherheitsupdate handelt, von dem die Details bekannt sind, empfehlen wir Ihnen das auch zeitnah zu tun. Das passende Contao Hosting<\/a> f\u00fcr Ihre Webumgebung finden Sie bei DM Solutions.<\/p>\n

Teile diesen Beitrag<\/div>