Wie macht man ein TYPO3 Sicherheitsupdate?

Letzte Änderung:

Im Rahmen des (Extended) Long Term Supports einer TYPO3 Version werden von der TYPO3 Association regelmäßige Minor- bzw. Sicherheitsupdates (Patches) veröffentlicht. Diese beheben funktionale Fehler und schließen Sicherheitslücken. Letztere sollte man unbedingt zeitnah einspielen.

Um überhaupt mitzukriegen, ob es Sicherheitspatches gibt, empfhielt es sich, der offiziellen TYPO3 Anouncement List beizutreten:

http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-announce

In unserem Artikel zu aktuellen TYPO3-Versionen und die Releasepolitik von TYPO3 finden Sie weitergehende Informationen.

Lesen Sie unseren TYPO3 Security Ticker, um sich über wichtige Updates rund um die Sicherheit des TYPO3-Sysetms und wichtiger Extensions auf dem Laufenden zu halten.

Anmerkungen: 
I.d.R. sind Minor-Updates zwar harmlos. Trotzdem sind sog. Breaking Changes (s.u.) möglich. Dies kann u.a. dazu führen, dass Extensions Probleme machen. Machen Sie daher vor einem Update immer ein Backup.

Dieser Artikel beschreibt nur die Durchführung von Wartungs- bzw. Sicherheitsupdates. Diese erkennt man an der 3. Stelle der Versionsnummer. Bei der Version 11.5.25 wäre dies also die 25. Sollte es höhere Versionen geben (26,27,28,...), empfiehlt sich die Durchführung eines Updates gemäß dieser Anleitung.

Generelle Informationen zu einem TYPO3-Update erhalten Sie hier.


Was sind Breaking Changes?

Von Breaking Changes spricht man, wenn der Austausch bzw. das Update eines Moduls dazu führt, dass das Gesamtsystem nicht mehr funktioniert, weil sich i.d.R. die Schnittstelle dieses Moduls geändert hat. Es müssen also an anderen Stellen des Systems Änderungen gemacht werden, die nicht durch das Einspielen des Updates abgedeckt sind. In TYPO3 sind Breaking Changes meistens Änderungen an der Datnbankstruktur (Tabellen und Felder) oder an Funktionsparametern, die als Schnittstelle für andere Module dienen.

Die TYPO3 Entwickler bemühen sich, sämtliche Breaking Changes eines Major Release schon vor Veröffentlichung der LTS-Version (idealerweise sogar schon mit der "Nullerversion", also z.B. "12.0") durchgeführt zu haben. In seltenen Fällen - vor allem wenn bei der Schließung einer Sicherheitslücke unumgänglich - können Breaking Chages auch noch in LTS-Updates vorkommen.

Benötige ich überhaupt ein Sicherheitsupdate?

Falls noch nicht bekannt, finden Sie die von Ihnen aktuell verwendete TYPO3-Version im Backend links oben.

In Ihrer TYPO3-Installation sollte mindestens das letzte Sicherheitsupdate eingespielt sein.

Diese sind zur Zeit: 

  • TYPO3 12.4.11 LTS  (kostenloser LTS bis 30.04.2026), letztes Security-Update: 12.4.11
  • TYPO3 11.5.36 LTS (kostenloser LTS bis 31.10.2024), letztes Security-Update: 11.5.35
  • TYPO3 10.4.44 ELTS (kostenloser LTS bis 30.04.2023), letztes Security-Update: 10.4.43
  • TYPO3 9.5.47 ELTS (kostenpflichtiger ELTS bis 31.10.2024), letztes Security-Update: 9.5.46
  • TYPO3 8.7.58 ELTS (kostenpflichtiger ELTS bis 31.03.2024), letztes Security-Update: 8.7.57

TYPO3 Sicherheitsupdate selber einspielen

Je nach Art der Installation und des Serverzugriffs gibt es drei verschiedene Arten ein Sicherheitsupdate in TYPO3 einzuspielen:

Tipp: Debugging aktivieren

Das Einspielen eines Sicherheitsupdates kann dazu führen, dass plötzlich weder Back- noch Frontend funktionieren. Wenn das System im Live-Modus läuft, erhalten Sie auch keine Fehlermeldung und haben somit keinen Hinweis auf das Problem. Schalten Sie daher vor dem Update im Backend auf den Debug-Modus (Settings->Configuration Presets) und setzen Sie im TYPOSCRIPT-Setup die Variable config.contentObjectExceptionHandler = 0. 

Vergessen Sie aber nicht, Beides nach erfolgreichem Update wieder zurückzusetzen.

1. TYPO3 Sicherheitsupdate mit dem composer

Das Update mit dem Composer geht wie folgt:

  • Loggen Sie sich mit ssh auf den Webserver ein und wechseln Sie in das Installationsverzeichnis
  • Führen Sie hier nun den folgenden Befehl aus:

 

composer update "typo3/cms-*" -W

 

 

  • Analysieren Sie über das TYPO3-Backend die Datenbank-Konsistenz ("Analyze Database Structure" im Modul Maintenance)
  • Löschen Sie den TYPO3- und PHP-Cache (ebenfalls im Modul Maintenance)
Video: So einfach geht ein TYPO3 Security-Update mit dem composer

2. Sicherheitsupdate über die Shell-Ebene (bei nicht composer-Installationen)

Wenn Ihr TYPO3-System nicht über den composer installiert wurde, empfehlen wir ein Update von der Shell-Ebene Ihres Webservers aus.

Wechseln Sie in das Installationsverzeichnis von TYPO3 und holen Sie mit wget das neueste Minorupdate Ihres Mainreleases (hier die Version 12)

 

wget --content-disposition get.typo3.org/12

 

Enpacken Sie die gelieferte tar-Datei (hier Version 12.4.8):

 

tar xzf typo3_src-12.4.8.tar.gz

 

Ändern Sie nun die Verlinkung des Unterverzeichnisses typo3_src:

 

rm typo3_src
ln -s typo3_src-12.4.8 typo3_src

 

Entfernen Sie außerdem ALLE anderen TYPO3-Instanzen. Es darf in diesem Fall nur das Verzeichnis typo3_src-12.4.8 existieren.

Sicherheitsupdate mit dem Install-Tool

Wenn Sie über keine composer-Installation verfügen und keinen ssh-Zugriff auf Ihren Webserver haben, können Sie das Sicherheitsupdate auch über das TYPO3-Backend einspielen. Folgende Voraussetzungen müssen dafür bestehen (mit "Webserver" ist hier die Anwendung also z.B. Apache gemeint):

  • das TYPO3-System läuft unter einem Unix-Derivat oder iOS
  • das Verzeichnis typo3_src ist ein symbolischer Link mit Schreibrechten für den Webserver
  • der Webserver hat Schreibrechte auf das Webroot-Verzeichnis (i.d.R. "."typo3")
  • das Verzeichnis oberhalb des Webroot-Verzeichnis muss ebenfalls beschreibbar sein
  • das tar-Kommando muss verfügbar und vom Webserver ausführbar sein
  • Sie haben einen Admin-Zugang mit Maintainer-Rechten auf das TYPO3 Backend

Mit dem Setzen der Umgebungsvariablen "TYPO3_DISABLE_CORE_UPDATER=1" kann diese Update-Funktion deaktiviert sein. Dies muss in der Konfiguration des Webservers angepasst werden (z.B. durch Setzen auf "0").

So geht's:

  1. Loggen Sie sich im als Administrator TYPO3 Backend ein
  2. Gehen Sie unter dem Modul Upgrade "Update TYPO3 Core"
  3. Klicken Sie auf "Check for core updates" 
  4. Klicken Sie - sofern ein Update vorhanden - auf "Update now" 

Mit uns auf der sicheren Seite

Sie möchten sich nicht selber darum kümmern? Wenn Sie einen Dienstleister suchen, der für Sie die zeitnahe Installation von Sicherheitsupdates übernimmt, sind Sie bei uns richtig.

Als professionelle TYPO3 Internetagentur bieten wir im Rahmen von Service Level Agreements u.a. das automatische Einspielen von Sicherheitsupdates an.

Wenn Sie keinen Servicevertrag mit uns haben oder dieser keine automatischen Sicherheitsupdates enthält, können Sie mir folgenden Kosten rechnen:

Unsere Leistung Kosten*

TYPO3 Securityupdate

  • Datenbank-Sicherung
  • Einspielen des Updates auf Staging- und Liveumgebung (ggf. Aktualisierung weiterer Extensions)
  • Endkontrolle
  • Dauer 2-4 Stunden (je nach Serverumgebung)

Anmerkung: Wenn Sie mit uns einen Servicevertrag (SLA) vereinbaren, der Sicherheitsupdates (für LTS-Versionen) automatisch einschliesst, entfallen keine Kosten.

Aufwand: ca. 2 Std.
 

Non-Profit-Organisationen:
mit SLA: 2 * 79,00 € = 158,00 €
ohne SLA: 2 * 89,00 € = 178,00 €
 

Unternehmen:
mit SLA: 2 * 89,00 € = 178,00 €
ohne SLA: 2 * 99,00 € = 198,00 €

* sämtliche Preisangaben gelten zzgl. der gesetzlichen MwSt.

TYPO3 Securityupdate

Kosten*

Aufwand: ca. 2 Std.
 

Non-Profit-Organisationen:
mit SLA: 2 * 89,00 € = 178,00 €
ohne SLA: 2 * 89,00 € = 178,00 €
 

Unternehmen:
mit SLA: 2 * 99,00 € = 198,00 €
ohne SLA: 2 * 99,00 € = 198,00 €

* sämtliche Preisangaben gelten zzgl. der gesetzlichen MwSt.

  • Datenbank-Sicherung
  • Einspielen des Updates auf Staging- und Liveumgebung (ggf. Aktualisierung weiterer Extensions)
  • Endkontrolle
  • Dauer 2-4 Stunden (je nach Serverumgebung)

Anmerkung: Wenn Sie mit uns einen Servicevertrag (SLA) vereinbaren, der Sicherheitsupdates (für LTS-Versionen) automatisch einschliesst, entfallen keine Kosten.