TYPO3-Sicherheitsupdate: Schutz Ihrer Daten durch verbesserte Zugriffskontrolle

14.02.2024
Ein wichtiges Sicherheitsupdate wurde für TYPO3 veröffentlicht, das eine mittelschwere Schwachstelle adressiert. Diese betrifft die Zugriffskontrolle und die Beständigkeit der Dateiabstraktionsschicht bei der Verwendung des Data Handlers. Hier erfahren Sie, wie Sie Ihre Webpräsenz sicher halten können.

In der digital vernetzten Welt von heute ist die Sicherheit von Web-Anwendungen ein elementarer Bestandteil des Online-Erfolges. Für Betreiber von Webseiten, die das Content-Management-System (CMS) TYPO3 nutzen, ist dieses Thema von besonderer Bedeutung, da kürzlich eine Sicherheitslücke identifiziert wurde, die eine mittelschwere Bedrohung darstellt. Die Schwachstelle wurde im Rahmen des Release von Sicherheitsupdate TYPO3-CORE-SA-2024-006 erfasst und betrifft speziell die Datenhandler-Komponente (ext:core) von TYPO3. Es geht um das Risiko, dass Angreifer aufgrund unzureichender Zugriffskontrollen Daten der File Abstraction Layer (FAL) einsehen oder manipulieren konnten – ein Umstand, der zu ungewollten Informationslecks führen kann. Dieses Problem betrifft zahlreiche Versionen, von 8.0.0-8.7.56 bis zu 13.0.0. Die Einstufung der Schwere liegt im mittleren Bereich. Betroffen sind sowohl die normale als auch die sogenannte 'Zero-Storage' Datei-Speicher, die als rückwärtskompatibler Layer für Dateien außerhalb der korrekt konfigurierten Dateispeicher dient. Der Vollzugriff bleibt nur für valide Backend-Benutzerkonten möglich, was die Bedrohung immerhin einschränkt. Eine umfassende und effektive Lösung wurde von den TYPO3-Entwicklern bereitgestellt, indem Sicherheitsupdates für verschiedene Versionen des Systems angeboten werden: 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS und 13.0.1. Diese Updates stellen sicher, dass 'sys_file'-Entitäten standardmäßig abgewiesen werden und dass 'sys_file_reference' & 'sys_file_metadata'-Entitäten keine Dateien im Fallback-Speicher referenzieren dürfen. Wenn Daten aus sicheren Quellen importiert werden sollen, muss dies nun ausdrücklich im entsprechenden DataHandler-Instance aktiviert werden. Dieses Update betont die Notwendigkeit, stets die empfohlenen Sicherheitsrichtlinien umzusetzen und die einschlägigen Ressourcen wie den TYPO3-Security-Guide zu konsultieren. Auch ist es ratsam, sich in die typische TYPO3-Ankündigungs-Mailingliste einzuschreiben, um zeitnahe Informationen zu erhalten.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.