Es liegt uns am Herzen, die Zusammenhänge rund um Contao zu erklären, damit du dein Wissen erweitern und mit anderen teilen kannst. Eine Frage, die uns in letzter Zeit häufiger erreicht hat, lautet:

Warum zeigt mir trakked eine Sicherheitslücke an, obwohl ich die neueste Contao-Version verwende? Manche Installationen melden Sicherheitslücken, während andere dies nicht tun.

Im ersten Schritt ist es wichtig zu wissen, dass Contao aus über 180 Paketen oder Bundles besteht. Dazu kommen Erweiterungen, die wiederum unterschiedliche Pakete als Abhängigkeiten haben. Jedes dieser Pakete kann Sicherheitslücken enthalten, für die Updates bereitgestellt werden.

Bei Sicherheitslücken im Contao-Core wirst du vorab über den Veröffentlichungstermin informiert und erhältst zusätzlich Informationen von trakked (zum Beispiel in einem Blog-Beitrag oder durch Benachrichtigungen).

Bei Sicherheitslücken in Abhängigkeiten, wie zum Beispiel Symfony, erhältst du eine automatisierte Benachrichtigung pro Sicherheitslücke und dazu eine Auflistung aller betroffenen Installationen. Allerdings erstellen wir dazu keinen Blog-Beitrag, da es viele verschiedene Kombinationen von Paketen und Versionen gibt, abhängig davon, wann du das letzte Update durchgeführt hast.

Es gibt also Sicherheitslücken sowohl in Contao selbst als auch in den Bundles. Wir empfehlen dir, Sicherheitslücken möglichst zeitnah zu schliessen. Die Zeit, die du benötigst, um zu klären, ob eine Sicherheitslücke für dein System relevant ist, ist erfahrungsgemäss länger als das Einspielen des Updates. Lies dazu auch: Bin ich von der Contao-Sicherheitslücke betroffen?

Unser Rat lautet daher: Aktualisiere deine Installation inklusive aller Pakete (trakked übernimmt das automatisch bei einem Update), und deine Installation sollte wieder grün und sicher sein.

Einen Kommentar schreiben

Was ist die Summe aus 5 und 7?