Letzte Woche wurde eine Sicherheitslücke in allen Contao-Versionen bekannt. Durch die Lücke kann fremder PHP-Code in das System eingeschleust und ausgeführt werden. Deshalb wird dringend empfohlen ein Update auf die Versionen 2.11.14 bzw. 3.2.5 durchzuführen.

Wer dieses Update nicht durchführen kann (z. Bsp. durch eigene Änderungen am Contao-Core), dem stellt die "Contao Community Alliance" Patch-Dateien zur Verfügung. Damit können dann nur die betroffenen Dateien getauscht werden.

>> Patch-Dateien bei der Contao Community Alliance

>> Artikel auf Contao.org zum Thema

Entwickler von Contao-Extensions sollten Ihren Code auf die Verwendung der Funktion deserialize() mit POST-Daten überprüfen und dies ggfs. umbauen!

[12.02.2014 - 18:34 Uhr] UPDATE: Soeben wurden die Versionen 2.11.15 und 3.2.6 veröffentlicht. Diese beheben eine weitere Schwachstelle in Zusammenhang mit der PHP-Object-Injection. Damit sollte das Problem endgültig behoben sein. Außerdem wurde die Schwachstelle so beseitigt, dass auch Dritt-Anbieter ihre Module nun nicht mehr unbedingt überarbeiten müssen. Das Update wird daher dringend empfohlen!

[13.02.2014 - 13:00 Uhr] UPDATE 2: Heute Mittag wurden die Versionen 2.11.16 und 3.2.7 veröffentlicht. Diese enthalten weitere Bugfixes für die PHP-Object-Injection. Das Update wird dringend empfohlen!