TYPO3 Sicherheitslücken im TYPO3-Core, Updates stehen bereit

Jan Tißler, 22.10.2009 - 15:28 | 11 Kommentare |
22 tweets  tweet this!
 |  Teilen

Wie das TYPO3-Sicherheitsteam mitteilt, wurden Sicherheitslücken im TYPO3-Core entdeckt. Sie ermöglichen unter anderem Cross-site Scripting und SQL-Injections. Passende Updates stehen zum Download bereit: 4.1.13, 4.2.10 und 4.3.0 beta-2. Wie Helmut Hummel, Leiter des TYPO3-Security-Teams, gegenüber t3n mitteilte, lassen sich die gefundenen Lücken bis auf zwei Ausnahmen nur von angemeldeten Usern ausnutzen. Trotzdem ist ein Update natürlich dringend angeraten. Genauere Informationen zu den Problemen sind auf dieser Seite zusammengefasst.

Ein Update für TYPO3 4.0.13 gibt es bei alldem nicht, da dieser Zweig offiziell nicht mehr unterstützt wird. So wird es übrigens bald auch Nutzern von TYPO3 4.1.x ergehen, denn hier wird die Weiterentwicklung mit dem Erscheinen von TYPO3 4.3 eingestellt. Nach der aktuellen Planung wäre das der 28. November. Siehe dazu auch die Kommentare weiter unten.

Ähnliche News und Artikel

Beitrag mit anderen teilen:

  • Twitter
  • Facebook
  • FriendFeed
  • t3n Social News
  • del.icio.us
  • MisterWong.DE
  • Digg
  • Identi.ca
  • Technorati
  • RSS
  • E-mail this story to a friend!

11 Antworten zu “TYPO3: Sicherheitslücken im TYPO3-Core, Updates stehen bereit”

  1. #1 Alex schrieb am 22. Oktober 2009 um 16:30

    Updates "für alle 4er-Zweige"? Ich seh irgendwie kein 4.0.14, obwohl 4.0.13 ausdrücklich unter "Affected" aufgeführt ist!

  2. #2 olly schrieb am 22. Oktober 2009 um 16:34

    @Alex:
    Ganz unten im Security Bulletin steht was Wichtiges:

    Note: After long years of support with updates and security fixes, the very old TYPO3 version 4.0 will no longer be supported officially. Users of this version are adviced to update their installations at least to version 4.1 or even better to version 4.2. However if this is no option for you in a short timeframe, feel free to contact the security team directly. We will then try to find an individual solution for you.

  3. #3 Alex schrieb am 22. Oktober 2009 um 17:10

    Tolle Sache. Wenn ich mich recht erinnere, setzt 4.1.* PHP5 voraus. Und dann streiken einige meiner Extensions.

  4. #4 Ingmar schrieb am 22. Oktober 2009 um 18:10

    TYPO3 4.1.x läuft noch unter PHP 4.3.x, ist also kein Problem, wenn man noch kein PHP5 hat. Auch sonst ist das Upgrade von TYPO3 4.0 auf 4.1 quasi komplett unproblematisch.

  5. #5 Oliver Leitner schrieb am 22. Oktober 2009 um 20:56

    Important: The support period of TYPO3 4.1 expires after the release of the new TYPO3 version 4.3 (planned for November 28th, 2009).

    also besonders realistisch ist das mit dem einstellen der 4.1er version ja auch nicht, man bekommt noch'n stolzen monat zeit all seine webs umzustellen.

    mal abgesehen ist das timing fuer oesis echt der horror, denn bei uns is am montag nationalfeiertag, und bei der vorlaufzeit wirds wohl fuer viele nix mit diversen familienfeierlichkeiten.

  6. #6 Alex schrieb am 23. Oktober 2009 um 08:57

    Solche Entscheidungen gehen doch echt an der Realität vorbei. Es gibt nun mal leider immer noch ältere Extensions ohne PHP5-Kompatibilität, die aber manche produktiv im Einsatz haben - und die somit ein Update auf höhere Zweige verhindern.

    Da ist man doch echt gekniffen. Bei solchen Gelegenheiten versteh ich nur zu gut, warum viele Nutzer TYPO3 inzwischen den Rücken kehren.

  7. #7 Jan Christe schrieb am 23. Oktober 2009 um 11:26

    Ich finde die Diskussion etwas überbewertet. Ist doch wohl nur zu logisch, dass ein Open-Source-Projekt nicht für alle alten Versions-Zweige dauerhaft Updates bereitstellt.

    @Alex: Es gibt mehr als 4.000 Extensions. Nur weil deren Entwickler ihre Erweiterungen nicht auf den neuesten Stand bringen, können die TYPO3-Kernentwickler doch nicht gezwungen sein, jahrelang Updates für veraltete Versionen bereitstellt, oder?

  8. #8 Alex schrieb am 23. Oktober 2009 um 11:36

    Es gibt andere Open Source-Systeme, die genau das tun.

    Nein, anders: Die fangen gar nicht erst an, in einer Version gleich drei oder vier verschiedene "Bäume" zu entwickeln.

    Abwärtskompatibilität und vor allem Zukunftssicherheit sind entscheidende Faktoren für die Wahl eines CMS. Und genau da rennt TYPO3 in meinen Augen in die völlig falsche Richtung.

  9. #9 Jan Tißler schrieb am 23. Oktober 2009 um 11:45

    Die News habe ich inzwischen um das Thema 4.0.x und 4.1.x erweitert. Vielen Dank für Eure Hinweise.

  10. #10 Noch ein Update | USmith Blog schrieb am 23. Oktober 2009 um 14:34

    [...] war ja WordPress ‘dran’ – heute ist Typo3 ‘reif’ : Sicherheitslücken im TYPO3-Core, Updates stehen bereit. Bei mir stand damit ein Update der Version 4.2.6 auf 4.2.10 [...]

  11. #11 ubuntu administrator schrieb am 23. Oktober 2009 um 15:15

    Nur zur Info.

    Bei mir hat die Mailform-Plus Extension nach dem Update bei textarea-Elementen gestreikt. Update der Extension hat das dann wieder gefixt.

    Also bei solchen Gelegenheiten auch immer gleich die Extensions updaten und testen - aber nacheinander, zur Vermeidung von Seiteneffekten.

22 Tweets:

  • Möchten Sie auch hier erscheinen? Dann hier Re-Tweeten

Du hast eine Ergänzung oder Frage zum Artikel? Teile sie jetzt mit!

Banner jetzt buchen »

Featured Event

webhostingday, Hürth

webhostingday, Hürth

17. - 19. März 2010
Weltgrößter Webhosting Event.

News abonnieren

Abonnieren Sie unseren Newsletter, den RSS-Feed oder folgen Sie uns auf Twitter.

RSS-FeedRSS-Feed
Twitter Twitter

Die neuesten Marktplatzeinträge »

Die neuesten Jobs »

Aktueller Artikel: TYPO3: Sicherheitslücken im TYPO3-Core, Updates stehen bereit