Was war das Problem?
Auslöser der Lücke war die Einführung eines neuen Formats für GitHub-Tokens. Dieses neue Format enthält einen Bindestrich und besteht die Validierung durch Composer nicht. Die daraus entstehende Fehlermeldung gibt den vollständigen Inhalt des Tokens auf dem Standardfehler aus. Damit landet das Token im schlimmsten Fall in Logs, CI-Ausgaben oder Konsolenprotokollen.
Nils von Packagist.com, der den Konferenzgängern der Contao Konferenz in Potsdam noch in guter Erinnerung sein dürfte, hat dazu einen ausführlichen Beitrag verfasst. Darin geht er auf die Ursache der Sicherheitslücke und die empfohlenen Sofortmassnahmen ein.
Deine Installation wird getrakked?
Dann musst du nichts tun. Andy hat gestern eine neue Version des Contao Managers veröffentlicht, in der bereits die aktuelle Composer-Version enthalten ist. Hast du deinen Contao Manager mit trakked verbunden, haben wir das Update in der Nacht auf Freitag automatisch für dich ausgerollt. Genau dafür haben wir trakked gebaut: Updates wie dieses laufen automatisch durch, ohne dass du jede Installation einzeln prüfen musst.
Installation wird nicht getrakked oder du nutzt Composer auf Kommandozeile?
Du hast deine Installation nicht getrakked oder nutzt Composer auf der Kommandozeile? Dann handle jetzt.
-
Contao Manager: Melde dich beim Contao Manager einmalig an. Beim Start führt dieser automatisch die Aktualisierung auf die aktuelle Contao Manager Version aus, welche die neue Composer-Version enthält.
-
Kommandozeile: Führe ein Self-Update auf Composer 2.9.8 oder 2.2.28 durch:
composer.phar self-updatePrüfe danach die installierte Version mit
composer --version, damit du sichergehst, dass das Update angekommen ist.
Ein Dank an Nils und das Composer-Team für die schnelle Reaktion und den transparenten Umgang mit der Sicherheitslücke.
Einen Kommentar schreiben