Aktuelle TYPO3 Security-Updates

Letzte Änderung:

Auf dieser Seite stellen wir Ihnen Security Updates des TYPO3 Cores oder von wichtigen Extensions vor. Sie sollten Sicherheitslücken unbedingt zeitnah schließen.

Zur Zeit sind folgende TYPO3 Versionen aktuell:

  • TYPO3 13.4.0 LTS (kostenloser LTS verfügbar ab 31.12.2027)
  • TYPO3 12.4.21 LTS (kostenloser LTS bis 30.04.2026), letztes Security-Update: 12.4.21
  • TYPO3 11.5.40 ELTS (kostenpflichtiger ELTS bis 31.10.2027), letztes Security-Update: 11.5.40
  • TYPO3 10.4.46 ELTS (kostenpflichtiger ELTS bis 30.04.2026), letztes Security-Update: 10.4.45

Sicherheitsupdates 13.3.1, 12.4.21 und 11.5.40 (08.10.2024)

Die TYPO3 Association hat neue Sicherheitsupdates veröffentlicht. Beide werden mit der Severity "LOW" kategorisiert. In beiden Fällen sind keine Änderungen an der Datenbank erforderlich.

Weitere Infos hier:

https://typo3.org/security/advisory/typo3-core-sa-2024-011
https://typo3.org/security/advisory/typo3-core-sa-2024-012

TYPO3 Security-Release (14.05.2024)

die TYPO3 Association hat am 14.05.2024 TYPO3-Sicherheitsupdates für die Versionen 13(noch kein LTS), 12 LTS und 11 LTS veröffentlicht.

Insgesamt werden mit dem Update vier potenzielle Sicherheitslücken geschlossen. Weitergehende Informationen erhalten Sie auch hier:

https://typo3.org/security/advisory/typo3-core-sa-2024-007 (Severity: LOW)
https://typo3.org/security/advisory/typo3-core-sa-2024-008 (Severity: MEDIUM)
https://typo3.org/security/advisory/typo3-core-sa-2024-009 (Severity: MEDIUM)
https://typo3.org/security/advisory/typo3-core-sa-2024-010 (Severity: MEDIUM)

Details zu den Releases finden Sie hier:

https://typo3.org/article/typo3-1301-12411-and-11535-security-releases-published

HINWEISE:

  1. Es hat sich herausgestellt, dass die News-Extension nach dem Einspielen des Core-Updates im Backend einen Fehler produziert. Der Fehler wurde bereits behoben und eine neue Version 11.4.2 der Newsextension veröffentlicht.
  2. fpnewsletter für v12 benötigt ebenfalls ein Update auf 6.4.3

TYPO3 Security-Release (13.02.2024)

die TYPO3 Association hat am 13.2.2024 TYPO3-Sicherheitsupdates für alle (E)LTS Major-Versionen veroeffentlicht.

Insgesamt werden mit dem Update sechs potenzielle Sicherheitsluecken geschlossen. Weitergehende Informationen erhalten Sie auch hier:

https://typo3.org/security/advisory/typo3-core-sa-2024-001
https://typo3.org/security/advisory/typo3-core-sa-2024-002
https://typo3.org/security/advisory/typo3-core-sa-2024-003
https://typo3.org/security/advisory/typo3-core-sa-2024-004
https://typo3.org/security/advisory/typo3-core-sa-2024-005
https://typo3.org/security/advisory/typo3-core-sa-2024-006 

Details zu den Releases finden Sie hier:

https://typo3.org/article/typo3-1301-12411-and-11535-security-releases-published

TYPO3 Security-Release (17.11.2023)

Am 15.11.2023 sind für alle TYPO3 (E)LTS-Versionen sind heute wichtige Sicherheitsupdates erschienen: 8.7.55, 9.5.44, 10.4.41, 11.5.33 und 12.4.8. Mehr Infos:

https://typo3.org/article/typo3-1248-and-11533-security-releases-published

TYPO3 12.4.4 and 11.5.30 Sicherheitsupdates veröffentlicht (25.07.2023)

Weitere Infos hier:

https://typo3.org/article/typo3-1244-and-11530-security-releases-published

TYPO3 Security-Release (8.2.2023)

Am 07.02.2023 wurde ein wichtiges TYPO3 Security-Update veröffentlicht. Betroffen sind alle vier Main-Release (11, 10, 9, 8). Mehr Infos:

https://typo3.org/security/advisory/typo3-core-sa-2023-001

TYPO3 Security Release (13.9.2022)

Die TYPO3 Association hat neue Security Releases für alle vier Major-Versionen (8,9,10,11) veröffentlicht (s.u.).

Betroffen ist sowohl der Core als auch diverse System-Extensions vir EXT:form und EXT:felogin. Mit den Updates werden Gefahren im Bereich des Cross Site Scriptings und Information Disclosure behoben:

Denial of Service (DoS)

Ermöglicht es, durch gezielte und häufige Webseiten-Anfragen, den Webserver lahm zu legen. Z.B. kann eine Lücke im Cache-Verhalten dazu führen, dass der Cache-Speicher des Webservers immer größer wird und irgendwann den Festplattenplatz des Servers zum Überlaufen bringt. 

Information Disclosure

Eine solche Sicherheitslücke liegt vor, wenn es Unbefugten ermöglicht wird, an geschützte Daten zu kommen. Dies können persönliche Daten im Sinne der DSGVO oder technische Daten (TYPO3-, Datenbank, PHP-Versionen oder Zugänge, usw.) sein, mit denen dann Angriffe auf das System durchgeführt werden können. 

Cross Site Scripting

Bei einer solchen Sicherheitslücke schaffen es Angreifer, schadhaften Code (Javascript, iframe-Weiterleitungen, etc.) über das Frontend in die Datenbank einzuschleusen, der dann ungefiltert anderen Websitebesuchern ausgeliefert wird. Klassischer Weise geschieht dies über Formulare bei "user generated content"-Applikation wie z.B. Foren.

Handlungsempfehlung

Die Severity - also der Risikograd - wird mit Medium eingestuft.

Wir empfehlen ein zeitnahes Sicherheitsupdate durchzuführen.