{"id":696,"date":"2012-03-14T18:54:07","date_gmt":"2012-03-14T17:54:07","guid":{"rendered":"http:\/\/www.cms-content-migration.de\/?p=696"},"modified":"2016-04-20T06:19:10","modified_gmt":"2016-04-20T04:19:10","slug":"contao-2-11-2-schliesst-zwei-sicherheitslucken","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2012\/03\/contao-2-11-2-schliesst-zwei-sicherheitslucken\/","title":{"rendered":"Contao 2.11.2 schlie\u00dft zwei Sicherheitsl\u00fccken"},"content":{"rendered":"
\"Update<\/div>\n
Contao ist in der Version 2.11.2 verf\u00fcgbar. Das aktuelle Update behebt zwei Sicherheitsschwachstellen, von denen eine als ernst einzustufen ist. Das Problem betrifft alle Contao-Installationen vor Version 2.11.2. <\/strong><\/div>\n

Nur wenige Tage nach Ver\u00f6ffentlichung des Bugfix-Release 2.11.1<\/a> ist seit soeben1<\/a><\/sup> die Contao Version 2.11.2 verf\u00fcgbar. Es wurde eine kritische Sicherheitsl\u00fccke im File-Manager geschlossen, die Benutzern des Backends den Download von Dateien erlaubt, f\u00fcr die sie keine Zugriffsberechtigung haben. F\u00fcr diese Schwachstelle wird ein manueller Hotfix<\/a> der Datei popup.php<\/code> empfohlen, falls ein kurzfristiges Einspielen des Updates nicht m\u00f6glich ist:<\/p>\n

Nach<\/p>\n

die('File not found');
\n}<\/code><\/p>\n

ist folgender Code einzuf\u00fcgen:<\/p>\n

\/\/ Check whether the file is mounted (thanks to Marko Cupic)
\nif (!$this->User->hasAccess($this->strFile, 'filemounts'))
\n{
\ndie('Permission denied');
\n}<\/code><\/p>\n

Eine weitere, jedoch laut Changelog<\/a> nicht als kritisch bewertete Sicherheitsschwachstelle betrifft ein m\u00f6gliches Cross-Site-Scripting im Undo-Modul.<\/p>\n

\n

<\/a>Fu\u00dfnote 1:
\nOffizielle Contao-Mitteilung vom 14.3.2012: Contao 2.11.2 verf\u00fcgbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Contao ist in der Version 2.11.2 verf\u00fcgbar. Das aktuelle Update behebt zwei Sicherheitsschwachstellen, von denen eine als ernst einzustufen ist. Das Problem betrifft alle Contao-Installationen vor Version 2.11.2.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[278,279],"tags":[11,252,244,412,418,419],"class_list":["post-696","post","type-post","status-publish","format-standard","hentry","category-cms-news","category-cms-sicherheitswarnungen","tag-cms","tag-contao","tag-content-management-systeme","tag-typolight","tag-wcm","tag-web-content-management"],"_links":{"self":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/comments?post=696"}],"version-history":[{"count":2,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/696\/revisions"}],"predecessor-version":[{"id":3685,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/696\/revisions\/3685"}],"wp:attachment":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/media?parent=696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/categories?post=696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/tags?post=696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}