Wenn in Contao oder in einem der installierten Pakete eine Sicherheitslücke bekannt ist und in einer neuen Version geschlossen wurde, erhältst du von uns eine E-Mail-Benachrichtigung (sofern du diese im Profil > Einstellungen > Benachrichtigungen aktiviert hast). Innerhalb von trakked erscheint ein zusätzliches Label «Sicherheitsrisiko», mit dem du alle betroffenen Installationen finden kannst. Ausserdem erkennst du am roten trakked-Logo, dass ein Sicherheitsproblem mit dieser Installation vorliegt.
Öffnest du dann die Detailansicht einer Installation, erscheint zudem ein neuer Reiter «Sicherheit». Hier kannst du die betroffenen Pakete und eine kurze Beschreibung der Sicherheitslücke ansehen. Falls verfügbar, kannst du mit einem Klick auf den Link-Button weitere Details erfahren.

Sicherheit

Hinweis auf bestimmte Sicherheitslücken deaktivieren

Stell dir vor du hast eine Installation und in dieser ist ein Bundle installiert, welches seit kurzem von einer Sicherheitslücke betroffen ist. Blöderweise ist es ein Bundle, welches du bei praktisch jeder Installation nutzt. Um die Sicherheitslücke zu schliessen, müsstest du jedoch auf eine neue Version dieses Bundles referenzieren. Da jedoch eine Aktualisierung zurzeit nicht möglich ist und du auch weisst, dass von dieser Sicherheitslücke keine Gefahr für deine Installation ausgeht, nervt dich die permanente Erinnerung von trakked in der wöchentlichen Benachrichtigung und Anzeige in der App. Composer bietet die Möglichkeit, über einen Eintrag in der composer.json gewisse Sicherheitslücken zu ignorieren. Dies wird bei composer audit benutzt und natürlich berücksichtigen wir diese Einträge ebenfalls.

Gehen wir davon aus es geht um folgende Sicherheitslücke:
CVE-2024-6531: Bootstrap Cross-Site Scripting (XSS) vulnerability.

Dann müsste dein Eintrag in der composer.json wie folgt aussehen:

"config": {
    "audit": {
        "ignore": ["CVE-2024-6531"]
    }
}

Natürlich kannst du den Grund auch für dich selbst dokumentieren:

"config": {
    "audit": {
        "ignore": {
            "CVE-2024-6531": "Betrifft eine Bootstrap XSS-Lücke in der Carousel-Komponente, die wir in diesem Projekt nicht einsetzen."
        }
    }
}

Bei mehreren Sicherheitslücken müsste der Eintrag wie folgt aussehen:

"config": {
    "audit": {
        "ignore": ["CVE-2024-6531", "CVE-2024-xxxx"]
    }
}

… und mit Kommentaren:

"config": {
    "audit": {
        "ignore": {
            "CVE-2024-6531": "Betrifft eine Bootstrap XSS-Lücke in der Carousel-Komponente, die wir in diesem Projekt nicht einsetzen.",
            "CVE-2024-xxxx": "…"
        }
     }
}

Sollte die Sicherheitslücke keine CVE haben, kannst du auch die Advisory-ID einfügen. Also GHSA-vc8w-jr9v-vj7f anstelle von CVE-2024-6531. Eine Advisory-ID ist immer vorhanden - eine CVE wird jedoch nicht immer angemeldet und ist daher optional.

Danach die «Systeminformationen aktualisieren» bei der Installation in trakked durchführen. Die Sicherheitsmeldung ist jetzt durchgestrichen und wird für die Benachrichtigung nicht mehr berücksichtigt. In Zukunft planen wir, dass die Liste auch über unser Benutzeroberfläche gepflegt werden kann.

Video

Beim Klick auf das Vorschaubild werden Daten von YouTube geladen und deine IP-Adresse übermittelt. Weitere Informationen zum Datenschutz im Zusammenhang mit YouTube findest du in unserer Datenschutzerklärung.