Neue TYPO3-Versionen für mehr Sicherheit

Maintenence Releases: TYPO3 6.2.29, 7.6.13 und 8.4.1 veröffentlicht.

Heute wurden die TYPO3-Versionen 6.2.29, 7.6.13 und 8.4.1 veröffentlicht. Auch wenn sie keine großen Veränderungen beinhalten, empfehlen wir trotzdem ein Update - die Releases schließen nämlich wichtige Sicherheitslücken und beinhalten außerdem einige Bugfixes.

Path Traversal im Core, Insecure Unserialize im Backend

In den TYPO3 Versionen 6.2.0 bis 6.2.28, 7.6.0 bis 7.6.12 und 8.0.0 bis 8.4.0 wurden gleich zwei Sicherheitslücken festgestellt. Zum einen erwies sich der TYPO3 Core als anfällig für sogenannte Path Traversal oder Directory Traversal Attacken. Dabei kann ein Angreifer mit Hilfe einer ungültigen UTF-8-Codesequenz auf verschiedene Verzeichnisse oder Dateien zugreifen. Deshalb wird ein Update auf die neusten Versionen empfohlen. Gleichzeitig wurde noch ein wichtiger Hinweis zum Update veröffentlicht: Wenn Euer TYPO3 Ordner- oder Dateinamen mit ungültigen UTF-8-Codes enthält, sollten diese umbenannt werden, da das Öffnen dieser Dateien sonst zu einer Fehlermeldung führen kann. Die Gefahr dieser Schwachstelle wurde aber nur als gering eingestuft.

Auch im Backend wurde eine Sicherheitslücke entdeckt, die aber nur von Personen mit Backendzugang ausgenutzt werden kann und daher ebenfalls nicht sehr drastisch ist. Der Suggest-Wizard ist anfällig für unsichere (und unnötige) De-Serialisierung („unserialize“) – ein Problem, das ebenfalls durch die neuen Updates gelöst werden konnte. Neben diesen beiden Sicherheitsproblemen konnten in den neuen Versionen auch einige Bugs behoben werden, mehr dazu findet Ihr auf den dazu veröffentlichten WikiSeiten von typo3.org (6.2.29, 7.6.13 und 8.4.1).

Wie immer wollen wir uns bei den Entdeckern und Behebern der Probleme bedanken und wünschen erfolgreiches Updaten! Herunterladen könnt Ihr die aktuellsten Versionen im Downloadbereich von typo3.org