So kümmert sich die TYPO3 Community um die Sicherheit

Letzte Änderung:

Zusammenfassung

Hinter der Sicherheit von TYPO3 steht ein spezialisiertes Security Team, das gemeldete Schwachstellen prüft, Korrekturen koordiniert und offizielle Sicherheitsmeldungen veröffentlicht. Unterstützt wird diese Arbeit durch das TYPO3 Core Team, die TYPO3 Association und Entwickler der TYPO3 GmbH. Damit eine Website tatsächlich geschützt bleibt, müssen veröffentlichte Updates jedoch zeitnah installiert und das System fachgerecht konfiguriert und überwacht werden.


Verantwortlich für die Sicherheit von TYPO3 ist vor allem das TYPO3 Security Team, ein offizielles Team innerhalb des TYPO3-Projekts beziehungsweise der Community. Die TYPO3 Association schafft dafür den organisatorischen und finanziellen Rahmen

Aufgaben des TYPO3 Security Teams

Das Security Team kümmert sich um Sicherheitsfragen im gesamten TYPO3-Ökosystem. Dazu gehören insbesondere:

  • vertrauliche Entgegennahme und Bewertung gemeldeter Schwachstellen,
  • Koordination von Fehlerbehebungen mit dem TYPO3 Core Team und den Entwicklern von Extensions,
  • Veröffentlichung offizieller Security Advisories,
  • Unterstützung von Extension-Entwicklern bei Sicherheitsproblemen,
  • Erstellung von Sicherheitsrichtlinien und Empfehlungen,
  • Unterstützung bei der Absicherung der TYPO3-Infrastruktur.

Schwachstellen werden zunächst nicht öffentlich diskutiert, sondern vertraulich an das Security Team gemeldet. Erst wenn eine Korrektur bereitsteht, werden Sicherheitsupdate und Advisory koordiniert veröffentlicht. Die Meldungen enthalten üblicherweise betroffene Versionen, Risikoeinstufung, CVE-Nummer und die Versionen, auf die aktualisiert werden muss.

Aktiv informieren

Es ist auf jeden Fall empfehlenswert, die Veröffentlichungen des Teams über die Kanäle eMail-Verteiler, dem X-Account @typo3_security und/oder Mastodon @typo3_security zu verfolgen.

Unter https://news.typo3.com/security erhält man eine Liste aller bekannten Sichherheitslücken sowie entsprechende Handlungsempfehlungen, die jeweils als sog. “Security Bulletins” veröffentlicht werden.

Des weiteren werden für Redakteure, Integratoren und Entwicker ein Security Guidelines bereit gestellt.

Security Bulletins

Es gibt drei Arten von Bekanntmachungen(“Security Bulletins”), die mit einer eindeutigen Kennung veröffentlicht werden:

  • TYPO3-CORE-SA-yyyy-nnn für Bulletins, die den TYPO3 Core betreffen
  • TYPO3-EXT-SA-yyyy-nnn für Bulletins, die für TYPO3-Extensions gelten
  • TYPO3-PSA-yyyy-nnn für Public Service Announcements

Wobei yyyy für das entsprechende Jahr der Veröffentlichung und nnn für eine fortlaufende Nummer steht.

Public Service Anouncements

Sichheitsrelevante Informationen, die nicht direkt den Source Code von TYPO3 oder Extensions betreffen, werden als sog. Public Service Announcements veröffentlicht. Darunter fallen unter anderem Probleme bei Dritt-Software wie Apache, PHP oder mySQL.

Severity

Die Severity ist ein Indikator für die Dringlichkeit einer Sicherheitslücke:

SeverityBedeutung
Criticalhöchste Dringlichkeitsstufe, die ein sofortiges Handeln erfordert
Highzweithöchste Stufe, schnellstmöglicher Handlungsbedarf
MediumIhre Installation ist nicht zwingend betroffen, dennoch sollte Update erfolgen
Lowdie Installation ist nur unter bestimmten – eher unwahrscheinlichen – Umständen     betroffen. Auch in diesem Fall empfehlen wir ein Update.