Liebe Kitodo-Community, unser Kollege Kajetan Dvoracek hat eine kritische Sicherheitslücke in Kitodo.Presentation gefunden. Die Lücke besteht schon viele Jahre und erlaubt es interne Informationen über den Webserver abzufragen. Es ist dazu Expertenwissen notwendig und man hat nur lesenden Zugriff. Trotzdem ist die Lücke kritisch. Wir haben dies dem TYPO3-Security-Team gemeldet und Patches für die Behebung eingereicht. Die Patches wurden gereviewed und freigegeben. Morgen-Mittag werden die Bugfix-Releases bereit stehen. Gleichzeitig wird dann über die Existenz der Sicherheitslücke erstmals informiert. Die Information erfolgt u.a. über die TYPO3 Advisory Mailinglist und auf der entsprechenden Webseite [1]. Da Sie möglicherweise nicht auf dieser Mailingliste sind, wollte ich Sie vorab informieren. Folgende Releases haben wir vorbereitet: * Version 3.3.4 für TYPO3 9.5 ELTS * Version 3.2.3 für TYPO3 8.7 ELTS und TYPO3 9.5 ELTS * Version 2.3.2 für TYPO3 7.6 ELTS und TYPO3 8.7 ELTS Das Update erfolgt per "composer update". Außer der Behebung der Sicherheitslücke gibt es keine Änderungen am Code zur jeweiligen Vorversion auf Patchlevel-Ebene (z.B. 3.3.3 --> 3.3.4). Ich bitte Sie, alle Produktiv- und Entwicklungssysteme zeitnah zu aktualisieren. Wenn Sie Fragen und/oder Probleme beim Update haben, können Sie sich gerne an mich oder die Liste wenden. Viele Grüße Alexander Bigga [1] https://typo3.org/help/security-advisories -- Alexander Bigga Stellvertretender Referatsleiter Digitale Präsentation Sächsische Landesbibliothek – Staats- und Universitätsbibliothek Dresden (SLUB) Abteilung IT, Referat 2.1 Digitale Präsentation 01054 Dresden Besucheradresse: Zellescher Weg 18, 01069 Dresden Tel.: +49 351 4677 212 E-Mail:alexander.bigga@slub-dresden.de https://www.slub-dresden.de |https://digital.slub-dresden.de _______________________________________________ Kitodo-Community mailing list Kitodo-Community(a)kitodo.org https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-community