Die TYPO3 Association hat neue Security Releases für alle vier Major-Versionen (8,9,10,11) veröffentlicht (s.u.).

Betroffen ist sowohl der Core als auch diverse System-Extensions vir EXT:form und EXT:felogin. Mit den Updates werden Gefahren im Bereich des Cross Site Scriptings und Information Disclosure behoben:

Denial of Service (DoS)

Ermöglicht es, durch gezielte und häufige Webseiten-Anfragen, den Webserver lahm zu legen. Z.B. kann eine Lücke im Cache-Verhalten dazu führen, dass der Cache-Speicher des Webservers immer größer wird und irgendwann den Festplattenplatz des Servers zum Überlaufen bringt. 

Information Disclosure

Eine solche Sicherheitslücke liegt vor, wenn es Unbefugten ermöglicht wird, an geschützte Daten zu kommen. Dies können persönliche Daten im Sinne der DSGVO oder technische Daten (TYPO3-, Datenbank, PHP-Versionen oder Zugänge, usw.) sein, mit denen dann Angriffe auf das System durchgeführt werden können. 

Cross Site Scripting

Bei einer solchen Sicherheitslücke schaffen es Angreifer, schadhaften Code (Javascript, iframe-Weiterleitungen, etc.) über das Frontend in die Datenbank einzuschleusen, der dann ungefiltert anderen Websitebesuchern ausgeliefert wird. Klassischer Weise geschieht dies über Formulare bei "user generated content"-Applikation wie z.B. Foren.

Handlungsempfehlung

Die Severity - also der Risikograd - wird mit Medium eingestuft.

Wir empfehlen ein zeitnahes Sicherheitsupdate durchzuführen.

Long Term Support(LTS)
Zu jeder Main version gibt es immer eine sog. LTS Version. Sie hat die höchste Minor version. Im Falle von TYPO3 v11 ist  es 11.5.. Es wird also niemals eine Version 11.6. geben. Die darunter liegenden Minor versions(11.0. – 11.4.) werden als Sprint Releases bezeichnet und sind für den Produktiveinsatz nicht geeignet. LTS Versionen werden 1,5 Jahre  mit Wartungs- und Sicherheitsupdates versorgt, was sich an der dritten Stelle bemerkbar macht (11.5.0 – 11.5.xx). Weitere 1,5 Jahre nur mit Sicherheitsupdates.

Derzeit aktuell sind die LTS Versionen v10 und v11:

• lesen Sie hier was es Neues in der Version 10 gibt
• lesen Sie hier was es Neues in der Version 11 gibt

Extended Long Term Support(ELTS)
Der Extended Long Term Support(ELTS) ist ein von der TYPO3 GmbH angebotener kostenpflichtiger Support für TYPO3 Versionen, die (nach 3 Jahren) aus dem LTS fallen. In der Regel wird für zwei Main versions ein ELTS angeboten. Sind also die beiden Versionen v11 und v10 im LTS, wird für v9 und v8 ELTS angeboten. Im Rahmen dieses Services werden weiterhin Security-Updates ausgeliefert.

Aus Sicherheitsgründen sollten Sie immer das aktuellste Sicherheitspatch Ihrer TYPO3 Main Version installiert haben.

Dies sind zur Zeit:

• TYPO3 11.5.21 LTS (kostenloser LTS bis 31.10.2024), letztes Security-Update: 11.5.21, bislang keine Breaking Changes
• TYPO3 10.4.34 LTS (kostenloser LTS bis 30.04.2023), letztes Security-Update: 10.4.34, bislang keine Breaking Changes
• TYPO3 9.5.38 ELTS (kostenpflichtiger ELTS bis 31.10.2024)
• TYPO3 8.7.49 ELTS (kostenpflichtiger ELTS bis 31.03.2023)

Sie können ein Security Update auch selber durchführen. Folgen Sie hierzu den Anweisungen in unserem Artikel zum Einspielen von TYPO3 Sicherheitspatches.

Achten Sie darauf, dass auch die Programmiersprache PHP, unter der TYPO3 läuft, regelmäßig aktualisiert werden sollte. Weitere Infos in unserem Artikel zum Thema TYPO3- und PHP-Versionen.

Gerne unterstützen wir Sie bei der Durchführung von Updates. Mehr Infos erhalten Sie auf unserer Support-Seite.