Contao 4.4.1を利用可能

2017年7月12日 10:48 Leo Feyer

Contaoバージョン4.4.1を利用できます。このバグ修正リリースでは、バックエンドで任意のPHPファイルのインクルードに関する脆弱性(CVE-2017-10993)を修正しています。

CVE-2017-10993

ログイン済みのバックエンドのユーザーが、URLのパラメーターを操作して任意のPHPのファイルをインクルードできました。Contaoはファイル管理でPHPのファイルのアップロードを許可していないので、攻撃はサーバー上に既に存在するPHPのファイルに限定されます。

この問題はContao 3.0.0から3.5.27とContao 4.0.0と4.4.0に影響があります。

この脆弱性は危機的なものとは考えていませんが、Contao 3.5.28またはContao 4.4.1に更新することを強く推奨します。

DCA picker

残念ながら、Contao 4.4.0で追加した新しいDCA選択は、Contao 4.4.1でも通常のバックエンドのユーザーでは使用できません。

このDCA選択を修正するには、ゼロから実装をしなおさなければなりません(contao/core-bundle#950を参照)。このため新しいDCA選択を使用した機能拡張を公開しないように、すべての開発者に依頼しています。技術的な理由のため、新しい実装は下位互換にはできません。

こちらも参照: Githubのチケット | Githubの比較表示 | Contaoの変更履歴 | リリースの概要

Contao 4.4.1 is availableの翻訳です。