Kurz vor dem offiziellen »End of Life« der letzten Long-Term-Support TYPO3 Version 4.5 ist noch ein sehr kritisches Sicherheitsleck geschlossen worden. Bei all unsere Kunden mit einem entsprechenden Update-Service ist diese Lücke bereits geschlossen und das System wieder aktuell und sicher.
Durch das bekannt gewordene Leck ist es unter bestimmten Voraussetzungen möglich die Login-Authentifizierung im TYPO3 Frontend zu umgehen. Zum erfolgreichen Login wurde lediglich ein Benutzername, aber kein Passwort benötigt.
Betroffen sind die folgenden Versionen:
- 4.3.0 bis 4.3.14
- 4.4.0 bis 4.4.15
- 4.5.0 bis 4.5.39
- 4.6.0 bis 4.6.18
Zur Behebung der Lücke steht für alle Anwender das Update auf 4.5.40 bereit. Zusätzlich wird ein diff-File sowie ein Shell-Skript zum massenhaften Aktualisieren der nicht mehr offiziell unterstützten Versionen angeboten. Alle Informationen im Detail können dem veröffentlichten Security Bulletin entnommen werden.
End of Life für 4.5 LTS kommt im März
Der offizielle Support von TYPO3 CMS 4.5 LTS wird im März diesen Jahres nach über vier Jahren eingestellt. Bitte beachten Sie, dass somit ab April auch keine Sicherheitslücken mehr geschlossen werden. Wir empfehlen dringend allen Anwendern kurzfristig das Update auf die nächste LTS-Version 6.2 zu planen und durchzuführen.
Sie haben Fragen zu unserem Upate-Service oder dem Update auf 6.2 im Speziellen? Gerne stehen wir Ihnen hierfür kostenlos und unverbindlich zur Verfügung.
Ihr Ansprechpartner:
Henrik Ziegenhain
Projektleitung
E-Mail: ziegenhain@team-digital.de
Telefon: 06641 911 65 13