Wichtiges Sicherheitsupdate für TYPO3: Schutz vor Dienstblockierung im ShowImageController

15.05.2024
Ein kritisches Sicherheitsrisiko wurde im ShowImageController von TYPO3 identifiziert, das ohne entsprechendes Update zu einer Dienstblockierung (Denial of Service) führen kann.

TYPO3-Nutzer aufgepasst: Ein signifikantes Sicherheitsleck könnte die Funktionsweise Ihrer Website beeinträchtigen. Es wurde eine Schwachstelle im <i>ShowImageController (eID tx_cms_showpic)</i> des TYPO3 Content Management Systems festgestellt, die eine unkontrollierte Ressourcennutzung auf dem Server verursacht. Diese könnte potenziell zu einer Dienstblockierung (Denial of Service) führen, indem massenhaft Thumbnail-Bilder auf dem Server erzeugt werden. Betroffen sind die Versionen 9.0.0 bis 13.1.0.

Die gute Nachricht: Es steht bereits ein Update zur Verfügung. Durch das Aktualisieren auf die angegebenen Versionen kann dieses Sicherheitsrisiko behoben werden. Der fragliche <i>frame</i> HTTP-Query-Parameter wird nun ignoriert, da er nicht von den Core APIs genutzt wurde. Darüber hinaus wurde eine neue Feature-Flag <i>security.frontend.allowInsecureFrameOptionInShowImageController</i> eingeführt, die standardmäßig deaktiviert ist.

Es ist entscheidend, dass Sie Ihr System so schnell wie möglich aktualisieren, um weiterhin einen sicheren Betrieb zu gewährleisten. Wir empfehlen zudem, stets die Empfehlungen im TYPO3 Security Guide zu beachten und sich für die typ03-announce Mailingliste anzumelden, um immer auf dem neuesten Stand zu bleiben. Bei Fragen zur Umsetzung steht unser Team bereit, um Ihnen durch diesen Prozess zu helfen und sicherzustellen, dass Ihr System gegen solche Schwachstellen gewappnet ist.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.