Neue TYPO3-Version 3.8.1 setzt auf Sicherheit: Zwischenschritt
Folgende Punkte sollten bei einem Update von TYPO3 3.8.0 auf Version 3.8.1 beachtet werden:
- Es sollte sichergestellt werden, dass alle gecachten Bilder im
Verzeichnis typo3temp gelöscht werden. Dies kann mit Hilfe der Option
„typo3temp“ -> „statistics“ im Install Tool erfolgen. - Wenn
im TypoScript-Setup „config.baseURL=1“ gesetzt wurde, muss dies auf
einen String geändert werden (z.B.
„config.baseURL=http://www.yourdomain.org/“), bevor ein Update auf
TYPO3 3.8.1
durchgeführt werden kann. - Wenn Dateien in „typo3temp“ via Install Tool editiert wurden,
sollten die bisher von TYPO3 erzeugten Backup-Dateien
(filename.php~) gelöscht werden.
Was hat sich geändert?
Folgende Punkte sind in 3.8.1 hinzugekommen:
- Die Funktionen GMENU_LAYERS und TMENU_LAYERS sowie Image-Rollover
funktionieren nun auch im Opera-Browser. - Die Eigenschaft „addQueryString“ für die Klasse „typolink“ fügt dem generierten Link
alle Parameter der aktuellen URL hinzu. - Der Parameter „config.disableImgBorderAttr“ schaltet das Border
Attribut für Bilder ab. - Aufgrund
eines Bugs in TYPO3 3.8.0 konnte der „Return Path“ für E-Mails nicht
gesetzt werden, selbst wenn er explizit im Install Tool
unter der Variable „$TYPO3_CONF_VARS[‚SYS‘][‚forceReturnPath‘]“ eingetragen wurde. - In
TYPO3 3.8.0 gab es einen Fehler in Bezug auf das Darstellen
von „klassischen“ tabellenbasierten IMGTEXT-Objekten. In
Mozilla-, Firefox- und Opera–Browser wurden zentrierte und rechts
ausgerichtete Bilder in der Folge linksbündig dargestellt. Im Internet Explorer
hingegen war die Position der Bilder jedoch korrekt.
Sämtliche Fehler wurden korrigiert und die einwandfreie Funktionalität in der Version 3.8.1 sichergestellt.
Sicherheit
Folgende Punkte wurde aus Sicherheitsaspekten behoben oder verändert:
- WICHTIG: Die baseURL-Konfiguration
zur automatischen Erkennung der baseURL („config.baseURL=1“)
wurde entfernt. Die Einstellung wird nicht mehr zugelassen. Stattdessen muss eine baseURL nun explizit angeben werden (z.B.
config.baseURL=http://www.yourdomain.org/“), da sonst eine Fehlermeldung ausgegebe wird. - Ein Cross-Site-Scripting-Problem in der Datei „showpic.php“ wurde behoben.
- Die Tasten-Kombination „Shift-Reload“ um den Cache einer TYPO3-Website zu löschen,
funktioniert in der neuen TYPO3 Version nur, wenn man auch im Backend
angemeldet ist. - Wenn
mit Hilfe des Install Tools Dateien im Verzeichnis
„typo3conf“ editiert wurden (z.B. die Datei „localconf.php“), so wurde
davon ein Backup
mit dem Namen „dateiname.php~“ angelegt. Diese Datei konnte per
Web-Browser angesehen werden, sofern der Pfad und der Dateiname bekannt
war. In der neuen TYPO3-Version werden
Backup-Dateien nun nach der Konvention „dateiname._bak.php“ angelegt.WICHTIG: Entfernen Sie alle Backup-Dateien im Ordner „typo3conf/“ mit der Endung „.php~“.
- Ein Debug-Script zeigte Systeminformationen, die mittels der
Funktion „phpinfo()“ bereitgestellt wurden. Für Details sollte im Security Bulletin auf typo3.org nachgeschaut werden.
Dieses Problem wurde in der neuen Version behoben. - Das „encryptionKey-Generierungstool“ im Install-Tool funktionierte
nicht einwandfrei. Die ersten 32 Zeichen waren immer identisch, wenn
ein neuer Key beim ersten mal erzeugt wurde. - Da die in TYPO3 3.8.0 eingesetzte phpMyAdmin-Version 2.6.2 einige
Sicherheitslücken enthielt, wird TYPO3 3.8.1 mit der Version 2.6.4-pl3 ausgeliefert. - Die Konfigurations-Variable „TYPO3_CONF_VARS[‚SYS‘][‚displayErrors‘]“ erhielt einen neuen Wert. Wenn
„TYPO3_CONF_VARS[‚SYS‘][‚displayErrors‘]=2“ eingestellt ist, werden PHP
Meldungen nur ausgegeben, wenn „devIPmask“ der IP des Rechners
entspricht. displayErrors und „devIPmask“ können im Install-Tool gesetzt
werden.
Zusammenfassung
Die neue TYPO3 Version 3.8.1 ist ein Sevice Release und enthält
keine neuen Funktionen. Aus Sicherheits-Aspekten sollte daher jede TYPO3-Installation auf die bereinigte 3.8.1 migriert werden.
Da keine Veränderungen am Datenbankschema vorgenommen wurden, muss lediglich der veränderte TYPO3-Quellcode eingebunden werden [1].