Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

TYPO3: Sicherheitslücken in mehreren TYPO3-Extensions

Wie TYPO3.org vermeldet, gibt es in einigen Extensions Sicherheitslücken. Und zwar sind das die Folgenden: „Frontend User Registration“ (sr_feuser_register), „A21glossary Advanced Output“ (a21glossary_advanced_output), „ClickStream Analyzer (output)“ (alternet_csa_out), „Directory Listing“ (dir_listing), „Store Locator“ (locator), „Userdata Create/Edit“ (sg_userdata), „Versatile Calendar Extension (VCE)“ (sk_calendar), „ultraCards“ (th_ultracards), „Visitor Tracking“ (ws_stats).

Genauere Informationen gibt es auf diesen beiden Seiten: Hier zu „Frontend User Registration“ und hier zu allen anderen genannten Extensions. Alle diese Extensions gehören nicht zur Standard-Installation von TYPO3. Von den Sicherheitslücken sind somit nur Projekte betroffen, die eine der genannten Erweiterungen selbst hinzugefügt haben.

Bitte beachte unsere Community-Richtlinien

13 Reaktionen
Ralf

Ich denke auch, das durch den vermehrten Einsatz von TYPO3 einige Kommerzielle unter Druck geraten. Und sich dann über diese Meldungen freuen. Aber bitte nehmt es nicht zu ernst wenn Sat1 berichtet, sie hatten vielleicht kein anderes Thema...

@Søren Schaffstein - das kling doch gut. Ich denke es ist ein Schritt in die richtige Richtung.

M. Blumentritt

ruhig bleiben!

wenn ihr mal nachdenkt - es gibt ein großes betriebssystem dass seit jahren intermittierend mit schweren und mäßigen sicherheitslücken zu kämpfen hat. na, wer kommt auf den namen?
es wurde sogar ein extra patch-day eingerichtet :)

ich denke davon ist TYPO3 noch weit entfernt. ich für meinen teil lasse mich durch solche meldungen nicht verunsichern. das internet war noch nie 100% sicher und wird es auch nie werden ...
wer die aktuelle technik und nur die benötigten daten benutzt - wird durchkommen!

grüße
M. Blumentritt

Søren Schaffstein

TYPO3 ist in den letzten Tagen vermehrt in der Presse aufgetaucht und wurde im Zusammenhang mit dem Angriff auf die nicht optimal gewarteten Websites von Wolfgang Schäuble und Schalke 04 ins "Security-Rampenlicht" gerückt. Dabei werden Thesen wie "Open Source Software ist nicht sicher" mit TYPO3 in Zusammenhang gebracht. Das bleibt natürlich direkt in den Köpfen der Leser/Zuschauer hängen und sorgt für Verunsicherung. Dafür besteht aber gar kein Grund, denn Open Source Software ist mindestens genauso sicher wie andere Softwareprodukte: Oft sind Sicherheitsupdates im Vergleich sogar schneller verfügbar und Entwickler sind in der Lage dringende Probleme selbst zu beheben. In den oben genannten, gehackten Websites hätte der Hack durch einen verantwortungsbewussten Hoster/Dienstleister leicht verhindert werden können. Den professionellen Dienstleistern war die Sicherheitslücke und das Erscheinen des Updates 2 Tage vor Veröffentlichung bekannt, so dass genug Zeit für Planung und Aktualisierung der TYPO3-Installationen möglich war.
Auch im aktuellen Fall gilt: Es gibt keine Software ohne Fehler und das Einspielen von Sicherheitsupdates gehört einfach zur professionellen Betreuung einer Website dazu. Man wird also weder mit einem anderen System noch mit strengeren Extension-Kontrollen das Problem von nicht getätigten Security-Updates beheben können.

Bezüglich mehr Kommunikation wird die TYPO3 Association in den nächsten Tagen verschiedene Schritte unternehmen, um die Kommunikation rund um TYPO3 deutlich zu verbessern. Dazu wird es unter anderem einen regelmäßigen Newsletter geben, die typo3.org-Website wird komplett überarbeitet, auf der Association-Website wird es einen speziellen Presse-Bereich geben uvm..
Bei TYPO3 passiert also auch nach wie vor viel – und zukünftig werden wir noch mehr darüber reden ;-))

Viel Spaß mit TYPO3
Søren Schaffstein,
Pressesprecher der TYPO3 Association

Jens-Christian Jensen

Huhu,

ich denke schon, dass das TYPO3 Projekt jemanden vertragen könnte, der sich maßgeblich um die Präsentation der Marke kümmert. Zu dieser Aufgabe gehört hauptsächlich eine Beteiligung an der stattfindenden Konversation über TYPO3, wie zum Beispiel auf Heise.de oder auch Offlinemedien wie Planetopia.

Die Menschen reden so oder so über TYPO3, und wenn man sich nicht beteiligt, dann kann man die anscheinend eher negativen Stimmen nicht richtigstellen.

Aus meiner Sicht eine klare Aufgabe für die Association.

datenkind

Oh, geht jetzt wieder das TYPO3-Bashing los? So richtig in die Lächerlichkeit abdriftend? Das ist doch banane. Als wäre TYPO3 das einzige System auf der Welt, bei dem Sicherheitslücken auftreten. Zumal diese Extensions nicht zum Core gehören, wie schon mehrfach angesprochen. Dann so einen Pseudojournalismus wie „Planetopia“ aufzugreifen ist ja nahezu anmaßend. T3 hat eine extreme Lernkurve hat, artet manchmal zum Haareraufen und oft müssen die banalsten Sachen umständlich gecodet werden, aber es ist immer noch ein sehr mächtiges System mit unheimlich vielen Möglichkeiten.
Wer ein TYPO3-Äquivalent kennt, möge bitte die Hand heben. Und wehe, es nimmt einer „Joomla“ in den Mund, dann bekomm ich immer so hässliche Lachkrämpfe …

Ingo

@Mike stimme dir zu, alles sehr merkwürdig

suxes

TYPO3 wird alt, die Core-Funktionalitäten reichen in der heutigen Zeit nicht mehr aus, um einen großteil der Webentwickler/Agenturen/Vereine/usw zufrieden zu stellen.

Alleine das Beispiel der sr_feuser_register zeigt, TYPO3 braucht definitiv mehr "Standard-Extensions". Klar, um halbwegs sicher zu gehen sollten man die Reviewed nehmen, doch was gibt es da schon an Auswahl. Keine, bzw kaum. Und warum reviewed kaum einer neue Extension? Ganz einfach, weil die Coding Guidelines einem zum hässlichen und unlesbaren Quellcode verdammen. Ich kann es verstehen wenn niemand Lust auf so ne Aufgabe hat.
Und welcher der 0815-Entwickler scheibt zudem Unittest... sogut wie keiner und wenn, dann nutzlose auf das Thema Sicherheit bezogen.

Also bevor das gesabbel vom "scheiss PR", "hochgeschaukelt" oder "...kommerzielle Anbietern dahinter stecken..." gehör geschenkt wird, überlegt euch warum es so ist. Es sind nicht die "Anderen" dran schuld, das alt eingefahrene System passt nicht mehr.

Mike

Das macht halt die Popularität von TYPO3 aus. Es benutzen halt immer mehr Agenturen, auch im professionellen Bereich. Da werden Begehrlichkeiten geweckt. Das Problem ist, dass bei kommerziellen Projekten, Sicherheitslücken einfach nicht gemeldet werden. Und von Sicherheitslücken bei Joomla und Konsorten spricht schon gar keiner mehr.
Es muss definitiv in Sachen PR was gemacht werden, da nach außen TYPO3 in den letzten Wochen keine gute Figur abgegeben hat. Mich würds nicht wundern, wenn da auch ein gewissen Politikum von kommerziellen Anbietern dahinter stecken würde. Natürlich gab es Sicherheitslücken, aber wie in jedem anderen System halt auch. Dass das alles jetzt so hochgeschaukelt wird, ist schon ein bisschen seltsam.

Marcus

Dass heise.de diese Meldung aufgreift, finde ich schon komisch. Core - okay, aber Extensions, dies es zu Tausenden gibt?
Die Kommentare dort sollte man nicht überbewerten; und bzgl. der Extension-Schwachstellen von *Krisen*management zu sprechen ist reichlich übertrieben.

PS: Bei heise gab es meines Wissens noch nie Meldungen zu Schwachstellen in Drupal-Modulen. Da gibt's auch genügend Probleme. Heise misst da anscheinend mit zweierlei Maß.

ahhhndi

Auch heise.de hat soeben diese Nachricht aufgegriffen und die negative Ressonanz ist besonders hoch. Natürlich melden sich zuerst die Kritiker, aber TYPO3 steht massiv in der Kritik und was passiert? Nichts. Es wird ein großer Pluspunkt an TYPO3, seine Sicherheit und nachhaltiger Sicherung, negativ ausgelegt und kommuniziert. Es fehlt nach wie vor ein greifendes Krisenmanagement bzw. überhaupt erstmal PR. Keiner der Programmierer wendet sich an die Öffentlichkeit, keine Mitteilung gelangt nach außen. Ich bin nach wie vor dafür das hier schnellstmöglich etwas passiert, ansonsten kann man V5 direkt einen neuen Namen geben!

Sven

Hast du die Planetopia-Sendung gesehen? Da hat keiner mit einem Wort von einem 'puren' TYPO3 gesprochen.

Also hatten sie anscheinend Recht!

anderer Sven

Hast du die News richtig gelesen?

"Alle diese Extensions gehören nicht zur Standard-Installation von TYPO3. Von den Sicherheitslücken sind somit nur Projekte betroffen, die eine der genannten Erweiterungen selbst hinzugefügt haben."

Sven

Vielleicht hatten die bei Planetopia auf Sat1 ja doch recht.

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst