Sicherheits-Updates für TYPO3 Core und Extensions

Heute wurden neue Versionen von TYPO3 veröffentlicht, die eine Reihe von Sicherheitslücken schließen. Auch für eine Reihe von Extensions wurden Security Updates veröffentlicht. 

Die TYPO3 Versionen 8.7.24 und 9.5.4 beheben verschiedene Sicherheitslücken. Die Webseiten unserer Kunden, die den von uns vorinstallierten Quellcode im Verzeichnis typo3cms verwenden, wurden automatisch auf die neuen Versionen aktualisiert. Die aktuell genutzte TYPO3 Version wird im Backend links oben angezeigt.

Zu den Sicherheitslücken im TYPO3 Core wurden die folgenden Security Bulletins veröffentlicht:

Ein Teil dieser Lücken betrifft auf TYPO3 Version 7.6 und 6.2. Kunden, die bei uns den verlängerten Long Term Support (ELTS) gebucht haben, erhalten diese Updates automatisch.

Dazu gibt es noch drei Public Service Announcements (PSA) zu den TYPO3 Versionen, die ebenfalls von Anwendern beachtet werden sollten:

Gleichzeitig wurden Sicherheitshinweise für eine Reihe von TYPO3 Erweiterungen veröffentlicht. Anwender, die diese Extensions in ihrer Webseite verwenden, sollten diese ebenfalls aktualisieren bzw. aus dem System entfernen (falls kein Update verfügbar ist):

Nachtrag: auf dem TYPO3camp Mitteldeutschland in Dresden hat der Leiter des TYPO3 Security Teams, Oliver Hader, in einem spannenden und interessanten Vortrag demonstriert (Mitschnitt auf YouTube), wie sich ein Teil der genannten Sicherheitslücken ausnutzen lässt.