Sicherheitshinweis zu Contao-Themes
Kommentare

Leo Feyer, Head des Contao-Core-Teams, hat einige Sicherheitshinweise zu Themes des Open-Source-Content-Management-Systems veröffentlicht. Der Grund dafür: Speziell Templates sind in Contao echte PHP-Dateien,

Leo Feyer, Head des Contao-Core-Teams, hat einige Sicherheitshinweise zu Themes des Open-Source-Content-Management-Systems veröffentlicht. Der Grund dafür: Speziell Templates sind in Contao echte PHP-Dateien, in denen sämtliche PHP-Funktionen uneingeschränkt verwendet werden können!

Der Contao Theme-Manager ermöglicht es, Themes leicht zu importieren und zu verwalten. Durch den Aufbau der Themes, die in der Regel aus Datenbankeinträgen und dem Upload bzw. dem tempaltes-Verzeichnis bestehen, stelle dieser Bereich jedoch einen nicht zu verachtenden Angriffspunkt für Hacker dar. Zusammengefasst gibt Feyer folgende Empfehlungen, um auf Nummer Sicher zu gehen:

  • Theme-Dateien (*.cto) sind normale ZIP-Archive, die man vor dem Upload auf den Server entpacken sollte.
    • Das Upload-Verzeichnis /tl_files/ darf keine PHP-Dateien enthalten.
    • Die Template-Dateien sollten auf möglichen Schadcode überprüft werden.
  • Themes sollten nur dann überprüft werden, wenn sie aus vertrauenswürdigen Quellen stammen.
  • Der Zugriff auf das Theme-Modul im Administrationsberich sollte nur vertrauenswürdigen Mitgliedern gestatten werden.

Die Möglichkeit, Themes automatisiert zu prüfen, schließt Feyer dabei aus. Die Palette der Angriffsvektoren sei riesig, die Möglichkeiten Schadcode zu tarnen nahezu grenzenlos. Dennoch möchte das Team die Situation offen besprechen und bittet daher alle Interessierten, sich im eigens dafür erstellten Thread im Contao-Forum zu Wort zu melden.

Ein erstes Projekt ist dabei bereits zustande gekommen. Das Community-Mitglied lindesbs hat ein BE-Modul geschrieben, dass Themes vor der Installation überprüft. Aktuell handelt es sich dabei zwar noch um einen PoC, allerdings könnte sich das Risiko damit durchaus verringern lassen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -