Wichtige TYPO3 Security-Updates

Letzte Änderung:

Auf dieser Seite stellen wir Ihnen Security Updates des TYPO3 Cores oder von wichtigen Extensions vor. Sie sollten Sicherheitslücken unbedingt zeitnah schließen.

TYPO3 Security-Release (17.11.2023)

Am 15.11.2023 sind für alle TYPO3 (E)LTS-Versionen sind heute wichtige Sicherheitsupdates erschienen: 8.7.55, 9.5.44, 10.4.41, 11.5.33 und 12.4.8. Mehr Infos:

https://typo3.org/article/typo3-1248-and-11533-security-releases-published

TYPO3 12.4.4 and 11.5.30 Sicherheitsupdates veröffentlicht (25.07.2023)

Weitere Infos hier:

https://typo3.org/article/typo3-1244-and-11530-security-releases-published

TYPO3 Security-Release (8.2.2023)

Am 07.02.2023 wurde ein wichtiges TYPO3 Security-Update veröffentlicht. Betroffen sind alle vier Main-Release (11, 10, 9, 8). Mehr Infos:

https://typo3.org/security/advisory/typo3-core-sa-2023-001

TYPO3 Security Release (13.9.2022)

Die TYPO3 Association hat neue Security Releases für alle vier Major-Versionen (8,9,10,11) veröffentlicht (s.u.).

Betroffen ist sowohl der Core als auch diverse System-Extensions vir EXT:form und EXT:felogin. Mit den Updates werden Gefahren im Bereich des Cross Site Scriptings und Information Disclosure behoben:

Denial of Service (DoS)

Ermöglicht es, durch gezielte und häufige Webseiten-Anfragen, den Webserver lahm zu legen. Z.B. kann eine Lücke im Cache-Verhalten dazu führen, dass der Cache-Speicher des Webservers immer größer wird und irgendwann den Festplattenplatz des Servers zum Überlaufen bringt. 

Information Disclosure

Eine solche Sicherheitslücke liegt vor, wenn es Unbefugten ermöglicht wird, an geschützte Daten zu kommen. Dies können persönliche Daten im Sinne der DSGVO oder technische Daten (TYPO3-, Datenbank, PHP-Versionen oder Zugänge, usw.) sein, mit denen dann Angriffe auf das System durchgeführt werden können. 

Cross Site Scripting

Bei einer solchen Sicherheitslücke schaffen es Angreifer, schadhaften Code (Javascript, iframe-Weiterleitungen, etc.) über das Frontend in die Datenbank einzuschleusen, der dann ungefiltert anderen Websitebesuchern ausgeliefert wird. Klassischer Weise geschieht dies über Formulare bei "user generated content"-Applikation wie z.B. Foren.

Handlungsempfehlung

Die Severity - also der Risikograd - wird mit Medium eingestuft.

Wir empfehlen ein zeitnahes Sicherheitsupdate durchzuführen.