Wie macht man ein TYPO3 Sicherheitsupdate?

Letzte Änderung:

Im Rahmen des (Extended) Long Term Supports einer TYPO3 Version werden von der TYPO3 Association regelmäßige Minor- bzw. Sicherheitsupdates (Patches) veröffentlicht. Diese beheben funktionale Fehler und schließen Sicherheitslücken. Letztere sollte man unbedingt zeitnah einspielen.

Um überhaupt mitzukriegen, ob es Sicherheitspatches gibt, empfhielt es sich, der offiziellen TYPO3 Anouncement List beizutreten:

http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-announce

In unserem Artikel zu aktuellen TYPO3-Versionen und die Releasepolitik von TYPO3 finden Sie weitergehende Informationen.

Lesen Sie unseren TYPO3 Security Ticker, um sich über wichtige Updates rund um die Sicherheit des TYPO3-Sysetms und wichtiger Extensions auf dem Laufenden zu halten.

Anmerkungen: 
I.d.R. sind Minor-Updates zwar harmlos. Trotzdem sind sog. Breaking Changes (s.u.) möglich. Dies kann u.a. dazu führen, dass Extensions Probleme machen. Machen Sie daher vor einem Update immer ein Backup.

Dieser Artikel beschreibt nur die Durchführung von Wartungs- bzw. Sicherheitsupdates. Diese erkennt man an der 3. Stelle der Versionsnummer. Bei der Version 11.5.25 wäre dies also die 25. Sollte es höhere Versionen geben (26,27,28,...), empfiehlt sich die Durchführung eines Updates gemäß dieser Anleitung.

Generelle Informationen zu einem TYPO3-Update erhalten Sie hier.


Was sind Breaking Changes?

Von Breaking Changes spricht man, wenn der Austausch bzw. das Update eines Moduls dazu führt, dass das Gesamtsystem nicht mehr funktioniert, weil sich i.d.R. die Schnittstelle dieses Moduls geändert hat. Es müssen also an anderen Stellen des Systems Änderungen gemacht werden, die nicht durch das Einspielen des Updates abgedeckt sind. In TYPO3 sind Breaking Changes meistens Änderungen an der Datnbankstruktur (Tabellen und Felder) oder an Funktionsparametern, die als Schnittstelle für andere Module dienen.

Die TYPO3 Entwickler bemühen sich, sämtliche Breaking Changes eines Major Release schon vor Veröffentlichung der LTS-Version (idealerweise sogar schon mit der "Nullerversion", also z.B. "12.0") durchgeführt zu haben. In seltenen Fällen - vor allem wenn bei der Schließung einer Sicherheitslücke unumgänglich - können Breaking Chages auch noch in LTS-Updates vorkommen.

TYPO3 Sicherheitsupdate mit dem composer

Das Update mit dem Composer geht wie folgt:

  1. Loggen Sie sich mit ssh auf den Webserver ein und wechseln Sie in das Installationsverzeichnis
  2. Führen Sie hier nun den folgenden Befehl aus:

 

composer update "typo3/cms-*" -W

 

 

Sicherheitsupdate mit dem Install-Tool

Voraussetzungen

Sie können TYPO3 Sicherheits-Updates mit dem Installttool (oder ab Version 9 als Maintenance-User) selber durchführen. Folgende Voraussetzungen müssen dafür bestehen (mit "Webserver" ist hier die Anwendung also z.B. Apache gemeint):

  • das TYPO3-System läuft unter einem Unix-Derivat oder iOS
  • das Verzeichnis typo3_src ist ein symbolischer Link mit Schreibrechten für den Webserver
  • der Webserver hat Schreibrechte auf das Webroot-Verzeichnis (i.d.R. "."typo3")
  • das Verzeichnis oberhalb des Webroot-Verzeichnis muss ebenfalls beschreibbar sein
  • das tar-Kommando muss verfügbar und vom Webserver ausführbar sein

Mit dem Setzen der Umgebungsvariablen "TYPO3_DISABLE_CORE_UPDATER=1" kann diese Update-Funktion deaktiviert sein. Dies muss in der Konfiguration des Webservers angepasst werden (z.B. durch Setzen auf "0").

Sicherheitsupdate mit TYPO3 Version 10

  1. Loggen Sie sich im als Administrator TYPO3 Backend ein
  2. Gehen Sie unter "Adminwerkzeuge" auf "Update TYPO3 Core"
  3. Klicken Sie auf "Check for core updates" 
  4. Klicken Sie - sofern ein Update vorhanden - auf "Update now" (vorher Backup machen)
Sicherheitsupdate in TYPO3 Version 10 durchführen

Mit uns auf der sicheren Seite

Sie möchten sich nicht selber darum kümmern? Wenn Sie einen Dienstleister suchen, der für Sie die zeitnahe Installation von Sicherheitsupdates übernimmt, sind Sie bei uns richtig.

Als professionelle TYPO3 Internetagentur bieten wir im Rahmen von Service Level Agreements u.a. das automatische Einspielen von Sicherheitsupdates an.