TYPO3 CMS mit wichtigem Security-Update
Kommentare

Oliver Hader hat gestern gleich fünf neue Versionen des TYPO3 CMS veröffentlicht. Notwendig wurde dieses geballte Release, da sowohl im Core als auch im Color Picker Wizard, in ExtJS, in der Authentification-Subkomponente,

Oliver Hader hat gestern gleich fünf neue Versionen des TYPO3 CMS veröffentlicht. Notwendig wurde dieses geballte Release, da sowohl im Core als auch im Color Picker Wizard, in ExtJS, in der Authentification-Subkomponente, im Extbase Framework und im Backend zahlreiche Sicherheitslücken entdeckt wurden. Die neuen Versionen schließen zwar die meisten Lücken, dennoch kann es unter Umständen nötig sein, dass man direkt am Server Hand anlegen muss. Folgende Versionen sollten installiert werden:

TYPO3 CMS 4.5: 4.5.34

TYPO3 CMS 4.7: 4.7.19

TYPO3 CMS 6.0: 6.0.14

TYPO3 CMS 6.1: 6.1.9

TYPO3 CMS 6.2: 6.2.3

Die jeweils aktuellsten Versionen finden sich auf der Download-Seite des TYPO3-Projekts.

Wenn ein Update nicht genug ist

Unter Umständen genügt es nicht, nur auf die aktuellste Version upzudaten. Wie der Security-Ankündigung zu entnehmen ist, besteht in den oben genannten Versionen des TYPO3 CMS unter Umständen die Gefahr des Host Spoofings.

Als Gegenmaßnahme wurde eine neue Konfigurationsoption eingeführt, die den Namen des oder der Hosts enthält, die als vertrauenswürdig eingestuft sind. Das System überprüft damit den übermittelten Host-Header. Per Default enthält die Konfiguration die Variable SERVER_NAME – das allerdings kann zu Problemen führen:

If TYPO3 is served by Apache from the default host, updating to the current TYPO3 versions is not enough! Apache then sets the SERVER_NAME variable directly to the (untrusted) host-header value. In such a setup you must either set „UseCannonicalName yes“ in your Apache configuration, or change the TYPO3 configuration option to a regular expression that matches all trusted host names in your TYPO3 installation.

Detailliertere Informationen findet man im Security Announcement, das man dringend beachten sollte, um herauszufinden, ob ein einfaches Update des TYPO3 CMS im Einzelfall genügt. Das allerdings sollte in den meisten Fällen der Fall sein – das Team hat hart daran gearbeitet, die üblichsten Szenarien abzudecken.

Aufmacherbild: Update (update icon) glassy red ribbon on glossy blue square button von Shutterstock / Urheberrecht: faysal

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -