Kritische Sicherheitslücke in TYPO3: Sicherheitsupdate verfügbar!
Veröffentlicht am 24.05.2016 von Anna Philipp
Aktuell sind viele Versionen von TYPO3 aufgrund einer Sicherheitslücke angreifbar. Ein Sicherheitsupdate steht nun bereit und wir raten dringend dazu, es so schnell wie möglich einzuspielen!Details zur Lücke
Es handet sich um eine Lücke durch fehlende Zugriffsprüfung für Extbase Aktionen. Details dazu finden Sie hier:
typo3.org – TYPO3-CORE-SA-2016-013: Missing Access Check in TYPO3 CMS
Auf heise.de ist ein ausführlicher Bericht darüber zu finden:
heise.de – Typo 3: Kritische Lücke geschlossen, Sicherheits-Update verfügbar
Update einspielen
Um das Update einzuspielen, gehen Sie bitte wie folgt vor:
- Laden Sie von typo3.org die Sourcen Version herunter: https://typo3.org/download/
- Sie können diese entweder direkt mittels wget über die Shell auf Ihren Server laden oder zunächst auf Ihrem Rechner speichern und dann via FTP hochladen.
- Die Sourcen müssen dann entpackt werden (oder Sie entpacken Sie vorher auf Ihrem Rechner). Auf der Shell sieht der Befehl dafür so aus:
Für Typo3 6.2.25:
tar -xzf typo3_src-6.2.25.tar.gz
Für Typo3 7.6.9:tar -xzf typo3_src-7.6.9.tar.gz
- Ersetzen Sie den entpackten Ordner dann durch den bestehenden src-Ordner (z.B. typo3_src-7.6.7) im DocRoot und passen den Symlink dort an:
Für Typo3 6.2.25:
ln -s typo3_src-6.2.25 typo3_src
Für Typo3 7.6. 9:ln -s typo3_src-7.6.9 typo3_src
- Melden Sie sich nun noch im Backend an, wechseln in das Install-Tool und führen im Upgrade-Wizard und den Database-Compare aus.
- Leeren Sie nun noch den Cache, dann ist das Update fertig eingespielt.
Bitte beachten Sie, dass ein Update sich immer auf die Darstellung Ihrer Seiten auswirken kann. Wir können also nicht garantieren, dass Ihre Seite durch das Update wie zuvor dargestellt wird, eventuell sind Anpassungen notwendig.
1-Klick-Installation im Kundenmenü
Die 1-Klick-Installation in unserem Kundenmenü haben wir bereits aktualisiert. Bitte beachten Sie, dass diese nun für neue Installationen aktuell und ohne die Sicherheitslücke zur Verfügung steht. Bestehende TYPO3 Installationen müssen Sie selbst aktualisieren, auch wenn diese ursprünglich über das Kundenmenü installiert wurden, da wir Ihre Webseiten und die Software dafür nicht ändern.