Liebe Kitodo-Community,
heute Mittag wurden die angekündigten Security-Releases veröffentlicht
und das entsprechende Security Bulletin [2] veröffentlicht.
Bitte aktualisieren Sie Ihre Systeme. Wenn Sie Unterstützung brauchen,
melden Sie sich bitte.
Viele Grüße
Alexander Bigga
[2]
https://typo3.org/security/advisory/typo3-ext-sa-2022-001
Am 14.02.22 um 11:28 schrieb Alexander Bigga:
Liebe Kitodo-Community,
unser Kollege Kajetan Dvoracek hat eine kritische Sicherheitslücke in
Kitodo.Presentation gefunden. Die Lücke besteht schon viele Jahre und
erlaubt es interne Informationen über den Webserver abzufragen. Es ist
dazu Expertenwissen notwendig und man hat nur lesenden Zugriff.
Trotzdem ist die Lücke kritisch.
Wir haben dies dem TYPO3-Security-Team gemeldet und Patches für die
Behebung eingereicht. Die Patches wurden gereviewed und freigegeben.
Morgen-Mittag werden die Bugfix-Releases bereit stehen. Gleichzeitig
wird dann über die Existenz der Sicherheitslücke erstmals informiert.
Die Information erfolgt u.a. über die TYPO3 Advisory Mailinglist und
auf der entsprechenden Webseite [1]. Da Sie möglicherweise nicht auf
dieser Mailingliste sind, wollte ich Sie vorab informieren.
Folgende Releases haben wir vorbereitet:
* Version 3.3.4 für TYPO3 9.5 ELTS
* Version 3.2.3 für TYPO3 8.7 ELTS und TYPO3 9.5 ELTS
* Version 2.3.2 für TYPO3 7.6 ELTS und TYPO3 8.7 ELTS
Das Update erfolgt per "composer update". Außer der Behebung der
Sicherheitslücke gibt es keine Änderungen am Code zur jeweiligen
Vorversion auf Patchlevel-Ebene (z.B. 3.3.3 --> 3.3.4).
Ich bitte Sie, alle Produktiv- und Entwicklungssysteme zeitnah zu
aktualisieren.
Wenn Sie Fragen und/oder Probleme beim Update haben, können Sie sich
gerne an mich oder die Liste wenden.
Viele Grüße
Alexander Bigga
[1]
https://typo3.org/help/security-advisories
--
Alexander Bigga
Stellvertretender Referatsleiter Digitale Präsentation
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Präsentation
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 212
E-Mail:alexander.bigga@slub-dresden.de
https://www.slub-dresden.de |https://digital.slub-dresden.de
_______________________________________________
Kitodo-Community mailing list
Kitodo-Community(a)kitodo.org
https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-community
--
Alexander Bigga
Stellvertretender Referatsleiter Digitale Präsentation
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Präsentation
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 212
E-Mail:alexander.bigga@slub-dresden.de
https://www.slub-dresden.de |https://digital.slub-dresden.de