Letzte Änderung:
Die TYPO3 Association hat neue Security Releases für alle vier Major-Versionen (8,9,10,11) veröffentlicht (s.u.).
Betroffen ist sowohl der Core als auch diverse System-Extensions vir EXT:form und EXT:felogin. Mit den Updates werden Gefahren im Bereich des Cross Site Scriptings und Information Disclosure behoben:
Ermöglicht es, durch gezielte und häufige Webseiten-Anfragen, den Webserver lahm zu legen. Z.B. kann eine Lücke im Cache-Verhalten dazu führen, dass der Cache-Speicher des Webservers immer größer wird und irgendwann den Festplattenplatz des Servers zum Überlaufen bringt.
Eine solche Sicherheitslücke liegt vor, wenn es Unbefugten ermöglicht wird, an geschützte Daten zu kommen. Dies können persönliche Daten im Sinne der DSGVO oder technische Daten (TYPO3-, Datenbank, PHP-Versionen oder Zugänge, usw.) sein, mit denen dann Angriffe auf das System durchgeführt werden können.
Bei einer solchen Sicherheitslücke schaffen es Angreifer, schadhaften Code (Javascript, iframe-Weiterleitungen, etc.) über das Frontend in die Datenbank einzuschleusen, der dann ungefiltert anderen Websitebesuchern ausgeliefert wird. Klassischer Weise geschieht dies über Formulare bei "user generated content"-Applikation wie z.B. Foren.
Die Severity - also der Risikograd - wird mit Medium eingestuft.
Wir empfehlen ein zeitnahes Sicherheitsupdate durchzuführen.
Eine der wichtigsten Maßnahmen zum Betrieb einer sicheren TYPO3-Installation ist die Verwendung einer sicheren TYPO3 Version. Die TYPO3 Association hat eine verbindliche Releasepolitik entwickelt, die wir nachfolgend kurz vorstellen.
TYPO3 Release
Ein TYPO3 Release besteht immer aus drei durch einen Punkt getrennte Zahlen:
<Main version>.<Minor version>.<Patch> (Bsp. 11.5.12).
Long Term Support(LTS)
Zu jeder Main version gibt es immer eine sog. LTS Version. Sie hat die höchste Minor version. Im Falle von TYPO3 v11 ist es 11.5.. Es wird also niemals eine Version 11.6. geben. Die darunter liegenden Minor versions(11.0. – 11.4.) werden als Sprint Releases bezeichnet und sind für den Produktiveinsatz nicht geeignet. LTS Versionen werden 1,5 Jahre mit Wartungs- und Sicherheitsupdates versorgt, was sich an der dritten Stelle bemerkbar macht (11.5.0 – 11.5.xx). Weitere 1,5 Jahre nur mit Sicherheitsupdates.
Derzeit aktuell sind die LTS Versionen v10 und v11:
Extended Long Term Support(ELTS)
Der Extended Long Term Support(ELTS) ist ein von der TYPO3 GmbH angebotener kostenpflichtiger Support für TYPO3 Versionen, die (nach 3 Jahren) aus dem LTS fallen. In der Regel wird für zwei Main versions ein ELTS angeboten. Sind also die beiden Versionen v11 und v10 im LTS, wird für v9 und v8 ELTS angeboten. Im Rahmen dieses Services werden weiterhin Security-Updates ausgeliefert.
Die TYPO3 Association aktualisiert regelmäßig Ihre Entwicklungsarbeit anhand einer Raodmap unter:
Aus dieser Roadmap ist abzulesen, welche TYPO3 Versionen sich wie lange noch im LTS- bzw. ELTS-Status befinden.
Das genaue Release Ihrer TYPO3 Installation wird im Backend links oben angezeigt:
Aus Sicherheitsgründen sollten Sie immer das aktuellste Sicherheitspatch Ihrer TYPO3 Main Version installiert haben.
Dies sind zur Zeit:
Für jede (E)LTS-Version können Sie nachlesen:
Für Version 11 finden Sie diese Informationen z.B. unter:
https://get.typo3.org/list/version/11
Hier ist auch gleich der jeweilige Download möglich.
Sie können ein Security Update auch selber durchführen. Folgen Sie hierzu den Anweisungen in unserem Artikel zum Einspielen von TYPO3 Sicherheitspatches.
Achten Sie darauf, dass auch die Programmiersprache PHP, unter der TYPO3 läuft, regelmäßig aktualisiert werden sollte. Weitere Infos in unserem Artikel zum Thema TYPO3- und PHP-Versionen.
Gerne unterstützen wir Sie bei der Durchführung von Updates. Mehr Infos erhalten Sie auf unserer Support-Seite.