Wie
TYPO3.org vermeldet, gibt es in einigen Extensions Sicherheitslücken. Und zwar sind das die Folgenden: „Frontend User Registration“ (sr_feuser_register), „A21glossary Advanced Output“ (a21glossary_advanced_output), „ClickStream Analyzer (output)“ (alternet_csa_out), „Directory Listing“ (dir_listing), „Store Locator“ (locator), „Userdata Create/Edit“ (sg_userdata), „Versatile Calendar Extension (VCE)“ (sk_calendar), „ultraCards“ (th_ultracards), „Visitor Tracking“ (ws_stats).
Genauere Informationen gibt es auf diesen beiden Seiten:
Hier zu „Frontend User Registration“ und
hier zu allen anderen genannten Extensions. Alle diese Extensions gehören nicht zur Standard-Installation von
TYPO3. Von den Sicherheitslücken sind somit nur Projekte betroffen, die eine der genannten Erweiterungen selbst hinzugefügt haben.
13 Antworten
von Sven 06.04.2009 (13:07Uhr) 1.
Vielleicht hatten die bei Planetopia auf Sat1 ja doch recht.
von anderer Sven 06.04.2009 (14:06Uhr) 2.
Hast du die News richtig gelesen?
"Alle diese Extensions gehören nicht zur Standard-Installation von TYPO3. Von den Sicherheitslücken sind somit nur Projekte betroffen, die eine der genannten Erweiterungen selbst hinzugefügt haben."
von Sven 06.04.2009 (14:16Uhr) 3.
Hast du die Planetopia-Sendung gesehen? Da hat keiner mit einem Wort von einem 'puren' TYPO3 gesprochen.
Also hatten sie anscheinend Recht!
von ahhhndi 06.04.2009 (14:21Uhr) 4.
Auch heise.de hat soeben diese Nachricht aufgegriffen und die negative Ressonanz ist besonders hoch. Natürlich melden sich zuerst die Kritiker, aber TYPO3 steht massiv in der Kritik und was passiert? Nichts. Es wird ein großer Pluspunkt an TYPO3, seine Sicherheit und nachhaltiger Sicherung, negativ ausgelegt und kommuniziert. Es fehlt nach wie vor ein greifendes Krisenmanagement bzw. überhaupt erstmal PR. Keiner der Programmierer wendet sich an die Öffentlichkeit, keine Mitteilung gelangt nach außen. Ich bin nach wie vor dafür das hier schnellstmöglich etwas passiert, ansonsten kann man V5 direkt einen neuen Namen geben!
von Marcus 06.04.2009 (15:16Uhr) 5.
Dass heise.de diese Meldung aufgreift, finde ich schon komisch. Core - okay, aber Extensions, dies es zu Tausenden gibt?
Die Kommentare dort sollte man nicht überbewerten; und bzgl. der Extension-Schwachstellen von *Krisen*management zu sprechen ist reichlich übertrieben.
PS: Bei heise gab es meines Wissens noch nie Meldungen zu Schwachstellen in Drupal-Modulen. Da gibt's auch genügend Probleme. Heise misst da anscheinend mit zweierlei Maß.
von Mike 06.04.2009 (22:21Uhr) 6.
Das macht halt die Popularität von TYPO3 aus. Es benutzen halt immer mehr Agenturen, auch im professionellen Bereich. Da werden Begehrlichkeiten geweckt. Das Problem ist, dass bei kommerziellen Projekten, Sicherheitslücken einfach nicht gemeldet werden. Und von Sicherheitslücken bei Joomla und Konsorten spricht schon gar keiner mehr.
Es muss definitiv in Sachen PR was gemacht werden, da nach außen TYPO3 in den letzten Wochen keine gute Figur abgegeben hat. Mich würds nicht wundern, wenn da auch ein gewissen Politikum von kommerziellen Anbietern dahinter stecken würde. Natürlich gab es Sicherheitslücken, aber wie in jedem anderen System halt auch. Dass das alles jetzt so hochgeschaukelt wird, ist schon ein bisschen seltsam.
von suxes 06.04.2009 (23:51Uhr) 7.
TYPO3 wird alt, die Core-Funktionalitäten reichen in der heutigen Zeit nicht mehr aus, um einen großteil der Webentwickler/Agenturen/Vereine/usw zufrieden zu stellen.
Alleine das Beispiel der sr_feuser_register zeigt, TYPO3 braucht definitiv mehr "Standard-Extensions". Klar, um halbwegs sicher zu gehen sollten man die Reviewed nehmen, doch was gibt es da schon an Auswahl. Keine, bzw kaum. Und warum reviewed kaum einer neue Extension? Ganz einfach, weil die Coding Guidelines einem zum hässlichen und unlesbaren Quellcode verdammen. Ich kann es verstehen wenn niemand Lust auf so ne Aufgabe hat.
Und welcher der 0815-Entwickler scheibt zudem Unittest... sogut wie keiner und wenn, dann nutzlose auf das Thema Sicherheit bezogen.
Also bevor das gesabbel vom "scheiss PR", "hochgeschaukelt" oder "...kommerzielle Anbietern dahinter stecken..." gehör geschenkt wird, überlegt euch warum es so ist. Es sind nicht die "Anderen" dran schuld, das alt eingefahrene System passt nicht mehr.
von Ingo 07.04.2009 (12:32Uhr) 8.
@Mike stimme dir zu, alles sehr merkwürdig
von datenkind 07.04.2009 (12:45Uhr) 9.
Oh, geht jetzt wieder das TYPO3-Bashing los? So richtig in die Lächerlichkeit abdriftend? Das ist doch banane. Als wäre TYPO3 das einzige System auf der Welt, bei dem Sicherheitslücken auftreten. Zumal diese Extensions nicht zum Core gehören, wie schon mehrfach angesprochen. Dann so einen Pseudojournalismus wie „Planetopia“ aufzugreifen ist ja nahezu anmaßend. T3 hat eine extreme Lernkurve hat, artet manchmal zum Haareraufen und oft müssen die banalsten Sachen umständlich gecodet werden, aber es ist immer noch ein sehr mächtiges System mit unheimlich vielen Möglichkeiten.
Wer ein TYPO3-Äquivalent kennt, möge bitte die Hand heben. Und wehe, es nimmt einer „Joomla“ in den Mund, dann bekomm ich immer so hässliche Lachkrämpfe …
von Jens-Christian Jensen 07.04.2009 (13:25Uhr) 10.
Huhu,
ich denke schon, dass das TYPO3 Projekt jemanden vertragen könnte, der sich maßgeblich um die Präsentation der Marke kümmert. Zu dieser Aufgabe gehört hauptsächlich eine Beteiligung an der stattfindenden Konversation über TYPO3, wie zum Beispiel auf Heise.de oder auch Offlinemedien wie Planetopia.
Die Menschen reden so oder so über TYPO3, und wenn man sich nicht beteiligt, dann kann man die anscheinend eher negativen Stimmen nicht richtigstellen.
Aus meiner Sicht eine klare Aufgabe für die Association.
von Søren Schaffstein 07.04.2009 (23:22Uhr) 11.
TYPO3 ist in den letzten Tagen vermehrt in der Presse aufgetaucht und wurde im Zusammenhang mit dem Angriff auf die nicht optimal gewarteten Websites von Wolfgang Schäuble und Schalke 04 ins "Security-Rampenlicht" gerückt. Dabei werden Thesen wie "Open Source Software ist nicht sicher" mit TYPO3 in Zusammenhang gebracht. Das bleibt natürlich direkt in den Köpfen der Leser/Zuschauer hängen und sorgt für Verunsicherung. Dafür besteht aber gar kein Grund, denn Open Source Software ist mindestens genauso sicher wie andere Softwareprodukte: Oft sind Sicherheitsupdates im Vergleich sogar schneller verfügbar und Entwickler sind in der Lage dringende Probleme selbst zu beheben. In den oben genannten, gehackten Websites hätte der Hack durch einen verantwortungsbewussten Hoster/Dienstleister leicht verhindert werden können. Den professionellen Dienstleistern war die Sicherheitslücke und das Erscheinen des Updates 2 Tage vor Veröffentlichung bekannt, so dass genug Zeit für Planung und Aktualisierung der TYPO3-Installationen möglich war.
Auch im aktuellen Fall gilt: Es gibt keine Software ohne Fehler und das Einspielen von Sicherheitsupdates gehört einfach zur professionellen Betreuung einer Website dazu. Man wird also weder mit einem anderen System noch mit strengeren Extension-Kontrollen das Problem von nicht getätigten Security-Updates beheben können.
Bezüglich mehr Kommunikation wird die TYPO3 Association in den nächsten Tagen verschiedene Schritte unternehmen, um die Kommunikation rund um TYPO3 deutlich zu verbessern. Dazu wird es unter anderem einen regelmäßigen Newsletter geben, die typo3.org-Website wird komplett überarbeitet, auf der Association-Website wird es einen speziellen Presse-Bereich geben uvm..
Bei TYPO3 passiert also auch nach wie vor viel – und zukünftig werden wir noch mehr darüber reden ;-))
Viel Spaß mit TYPO3
Søren Schaffstein,
Pressesprecher der TYPO3 Association
von M. Blumentritt 08.04.2009 (09:52Uhr) 12.
ruhig bleiben!
wenn ihr mal nachdenkt - es gibt ein großes betriebssystem dass seit jahren intermittierend mit schweren und mäßigen sicherheitslücken zu kämpfen hat. na, wer kommt auf den namen?
es wurde sogar ein extra patch-day eingerichtet :)
ich denke davon ist TYPO3 noch weit entfernt. ich für meinen teil lasse mich durch solche meldungen nicht verunsichern. das internet war noch nie 100% sicher und wird es auch nie werden ...
wer die aktuelle technik und nur die benötigten daten benutzt - wird durchkommen!
grüße
M. Blumentritt
von Ralf 08.04.2009 (11:46Uhr) 13.
Ich denke auch, das durch den vermehrten Einsatz von TYPO3 einige Kommerzielle unter Druck geraten. Und sich dann über diese Meldungen freuen. Aber bitte nehmt es nicht zu ernst wenn Sat1 berichtet, sie hatten vielleicht kein anderes Thema...
@Søren Schaffstein - das kling doch gut. Ich denke es ist ein Schritt in die richtige Richtung.