Sicherheit
Folgende Punkte wurde aus Sicherheitsaspekten behoben oder verändert:
- WICHTIG: Die baseURL-Konfiguration zur automatischen Erkennung der baseURL („config.baseURL=1“) wurde entfernt. Die Einstellung wird nicht mehr zugelassen. Stattdessen muss eine baseURL nun explizit angeben werden (z.B. config.baseURL=http://www.yourdomain.org/“), da sonst eine Fehlermeldung ausgegebe wird.
- Ein Cross-Site-Scripting-Problem in der Datei „showpic.php“ wurde behoben.
- Die Tasten-Kombination „Shift-Reload“ um den Cache einer TYPO3-Website zu löschen, funktioniert in der neuen TYPO3 Version nur, wenn man auch im Backend angemeldet ist.
- Wenn
mit Hilfe des Install Tools Dateien im Verzeichnis
„typo3conf“ editiert wurden (z.B. die Datei „localconf.php“), so wurde
davon ein Backup
mit dem Namen „dateiname.php~“ angelegt. Diese Datei konnte per
Web-Browser angesehen werden, sofern der Pfad und der Dateiname bekannt
war. In der neuen TYPO3-Version werden
Backup-Dateien nun nach der Konvention „dateiname._bak.php“ angelegt.
WICHTIG: Entfernen Sie alle Backup-Dateien im Ordner „typo3conf/“ mit der Endung „.php~“.
- Ein Debug-Script zeigte Systeminformationen, die mittels der Funktion „phpinfo()“ bereitgestellt wurden. Für Details sollte im Security Bulletin auf typo3.org nachgeschaut werden. Dieses Problem wurde in der neuen Version behoben.
- Das „encryptionKey-Generierungstool“ im Install-Tool funktionierte nicht einwandfrei. Die ersten 32 Zeichen waren immer identisch, wenn ein neuer Key beim ersten mal erzeugt wurde.
- Da die in TYPO3 3.8.0 eingesetzte phpMyAdmin-Version 2.6.2 einige Sicherheitslücken enthielt, wird TYPO3 3.8.1 mit der Version 2.6.4-pl3 ausgeliefert.
- Die Konfigurations-Variable „TYPO3_CONF_VARS['SYS']['displayErrors']“ erhielt einen neuen Wert. Wenn „TYPO3_CONF_VARS['SYS']['displayErrors']=2“ eingestellt ist, werden PHP Meldungen nur ausgegeben, wenn „devIPmask“ der IP des Rechners entspricht. displayErrors und „devIPmask“ können im Install-Tool gesetzt werden.
Zusammenfassung
Die neue TYPO3 Version 3.8.1 ist ein Sevice Release und enthält keine neuen Funktionen. Aus Sicherheits-Aspekten sollte daher jede TYPO3-Installation auf die bereinigte 3.8.1 migriert werden.
Da keine Veränderungen am Datenbankschema vorgenommen wurden, muss lediglich der veränderte TYPO3-Quellcode eingebunden werden [1].
Thomas Esders kommt aus Hannover und arbeitet seit dem Jahr 2002 mit TYPO3. Für seinen Arbeitgeber berät er Firmen in TYPO3-Projekten, ist für die Dynamisierung von TYPO3-Auftritten zuständig und gibt TYPO3-Schulungen. Seit der Version 3.8.0 schreibt er die offizielle Zusammenfassung zu neuen TYPO3-Versionen. Wenn er nicht gerade anderen Dingen nachgeht, kümmert er sich in seiner Freizeit um eine Online-Community für Ausbilder aus dem Bereich Fachinformatik (http://www.fi-ausbilden.de).
