Liebe Kitodo-Community,
unser Kollege Kajetan Dvoracek hat eine kritische Sicherheitslücke
in Kitodo.Presentation gefunden. Die Lücke besteht schon viele Jahre
und erlaubt es interne Informationen über den Webserver abzufragen.
Es ist dazu Expertenwissen notwendig und man hat nur lesenden
Zugriff. Trotzdem ist die Lücke kritisch.
Wir haben dies dem TYPO3-Security-Team gemeldet und Patches für die
Behebung eingereicht. Die Patches wurden gereviewed und freigegeben.
Morgen-Mittag werden die Bugfix-Releases bereit stehen. Gleichzeitig
wird dann über die Existenz der Sicherheitslücke erstmals
informiert. Die Information erfolgt u.a. über die TYPO3 Advisory
Mailinglist und auf der entsprechenden Webseite [1]. Da Sie
möglicherweise nicht auf dieser Mailingliste sind, wollte ich Sie
vorab informieren.
Folgende Releases haben wir vorbereitet:
- Version 3.3.4 für TYPO3 9.5 ELTS
- Version 3.2.3 für TYPO3 8.7 ELTS und TYPO3 9.5 ELTS
- Version 2.3.2 für TYPO3 7.6 ELTS und TYPO3 8.7 ELTS
Das Update erfolgt per "composer update". Außer der Behebung der
Sicherheitslücke gibt es keine Änderungen am Code zur jeweiligen
Vorversion auf Patchlevel-Ebene (z.B. 3.3.3 --> 3.3.4).
Ich bitte Sie, alle Produktiv- und Entwicklungssysteme zeitnah zu
aktualisieren.
Wenn Sie Fragen und/oder Probleme beim Update haben, können Sie sich
gerne an mich oder die Liste wenden.
Viele Grüße
Alexander Bigga
[1] https://typo3.org/help/security-advisories
--
Alexander Bigga
Stellvertretender Referatsleiter Digitale Präsentation
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Präsentation
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 212
E-Mail: alexander.bigga@slub-dresden.de
https://www.slub-dresden.de | https://digital.slub-dresden.de