{"id":2479,"date":"2013-01-16T14:48:42","date_gmt":"2013-01-16T13:48:42","guid":{"rendered":"http:\/\/blog.till.de\/?p=2479"},"modified":"2013-01-31T14:14:03","modified_gmt":"2013-01-31T13:14:03","slug":"so-wichtig-sind-typo3-updates","status":"publish","type":"post","link":"https:\/\/blog.till.de\/typo3\/so-wichtig-sind-typo3-updates\/","title":{"rendered":"So wichtig sind TYPO3 Updates"},"content":{"rendered":"
Aus Sicherheitsgr\u00fcnden und zur Systemstabilit\u00e4t sollte jede Software gewartet werden. Ein wichtiger Teil der Wartung sind die regelm\u00e4\u00dfigen Updates und Upgrades von alten Versionen. Das ist f\u00fcr TYPO3 genau so wichtig, wie das regelm\u00e4\u00dfige Aktualisieren Ihres Virenscanners.<\/p>\n
Ein Update ist erforderlich, wenn die bisherige TYPO3-Version veraltet ist, neue Funktionen genutzt werden sollen oder Sicherheitsl\u00fccken entdeckt wurden. Auch einzelne Extensions sollten regelm\u00e4\u00dfig aktualisiert und getestet werden. Daher ist es ratsam, eine TYPO3-Installation stets auf dem neuesten Stand zu halten.<\/p>\n
Welche Version Sie zur Zeit verwenden k\u00f6nnen Sie sehen, nachdem Sie sich in Ihrem TYPO3-System anmelden. Die Versionsnummer erscheint dann in der Titel-Zeile und auf dem Startbildschirm.<\/p>\n
Ein TYPO3 Update beseitigt eventuelle Fehler in der Software und f\u00fchrt zus\u00e4tzliche Sicherheitsma\u00dfnahmen ein. Neue Funktionen werden durch ein Update nicht eingef\u00fchrt. Ein Update erkennt man an der \u00c4nderung der dritten Zahlengruppe, z.B. von 4.5.2 auf 4.5.3.<\/p>\n
Bei einem Upgrade wird Ihr TYPO3 auf eine neuere Version aktualisiert. Diese zeichnet sich durch neue Funktionen, Verbesserung in der Benutzerfreundlichkeit oder durch verbesserte Leistung und Geschwindigkeit aus. Ein Upgrade erkennt man an der \u00c4nderung der zweiten Zahlengruppe, z.B. von 4.4.7 auf 4.5.3.<\/p>\n
Wichtig zur Wartung sind insbesondere die Updates. Ein Upgrade wird erst f\u00e4llig, wenn Ihre TYPO3 Version von den Entwicklern nicht mehr gepflegt wird, also f\u00fcr Ihre Version keine Updates mehr bereitgestellt werden.<\/p>\n
Folgende Sicherheitsrisiken bestehen, wenn Sie kein rechtzeitiges TYPO3 Update durchgef\u00fchrt haben:<\/p>\n
Dies bedeutet, dass das System unter bestimmten Umst\u00e4nden Informationen einer externen Person zur Verf\u00fcgung stellt. Solche Informationen k\u00f6nnten sensible Benutzerdaten (z.B. Namen, Adressen, Kundendaten, Kreditkarte, etc.) oder Informationen \u00fcber das System (wie die Struktur des Dateisystems, installierte Software, Konfiguration, Versionsnummern usw.) sein. Ein Angreifer k\u00f6nnte diese Informationen nutzen, um einen Angriff gegen das System durchzuf\u00fchren.<\/p>\n
Unter bestimmten Bedingungen kann es m\u00f6glich sein, dass das System pers\u00f6nliche Daten wie Kundenlisten, E-Mail-Adressen, Passw\u00f6rter, Bestellhistorien oder Finanztransaktionen enth\u00fcllt. Diese Informationen k\u00f6nnen von Kriminellen f\u00fcr Betrug oder finanzielle Gewinne verwendet werden. Der Server mit einer TYPO3-Website sollte so gesichert werden, dass keine Daten ohne Zustimmung der Eigent\u00fcmer der Website abgerufen werden k\u00f6nnen.<\/p>\n
Mit SQL-Injection versucht der Angreifer, modifizierte SQL-Anweisungen an den Datenbank-Server senden, um Zugriff auf die Datenbank erhalten. Dies k\u00f6nnte dazu verwendet werden, um Informationen wie Kundendaten oder Benutzer-Passw\u00f6rter abzurufen oder sogar die Datenbank-Inhalte zu ver\u00e4ndert, indem beispielsweise Administratorenkonten in der Tabelle user hinzugef\u00fcgt werden. Deshalb ist es notwendig, sorgf\u00e4ltig alle Parameter in der Datenbankabfrage zu analysieren und zu filtern.<\/p>\n
\u00c4hnlich wie bei der SQL-Injection enth\u00e4lt die „Code-Injektion“ Kommandos oder Dateien von Remote-Instanzen (RFI: Remote File Inclusion) oder aus dem lokalen Dateisystem (LFI: Local File Inclusion). Der abgerufene Code wird Teil der Ausf\u00fchrung des Skripts und l\u00e4uft im Rahmen der TYPO3 Website (so hat es die gleichen Zugriffsrechte auf Server-Ebene). Beide Angriffe, RFI und LFI, werden oft durch unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Neutralisation von Benutzereingaben ausgel\u00f6st.<\/p>\n
Bei einem genehmigten Bypass Angriff nutzt ein Angreifer Sicherheitsl\u00fccken in schlecht konzipierten Anwendungen oder Login-Formularen (z.B. Client-Seite Dateneingabe Validierung). Authorizationsmodule, die mit dem TYPO3 Kern ausgeliefert werden, sind getestet und gepr\u00fcft. Aufgrund der offenen Architektur des TYPO3 kann dieses System durch alternative L\u00f6sungen erweitert werden. Dadurch k\u00f6nnen die Code-Qualit\u00e4t und Sicherheitsaspekte variieren.<\/p>\n
Cross-Site-Scripting tritt auf, wenn Daten, die von einer Anwendung verarbeitet werden, nicht auf alle verd\u00e4chtigen Inhalte gefiltert werden. Es tritt am h\u00e4ufigsten bei Formularen auf Webseiten auf, wo ein Benutzer Daten eingibt, die dann durch die Anwendung verarbeitet werden. Wenn die Daten gespeichert oder auf ungefiltertem Weg zur\u00fcck an den Browser geschickt werden, kann b\u00f6sartiger Code ausgef\u00fchrt werden. Ein typisches Beispiel ist ein Formular f\u00fcr einen Blog oder G\u00e4stebuch. Wenn die \u00fcbermittelten Daten einfach in der Datenbank gespeichert werden, werden diese zur\u00fcck an den Browser des Besucher geschickt, wenn der Blog oder das G\u00e4stebuch angezeigt werden. Dadurch ist es m\u00f6glich nicht nur zus\u00e4tzlichen Text oder Bilder einbinden, sondern auch JavaScript-Code oder eingebettete Frames, die den Code von einer fremden Website aufrufen.<\/p>\n
Bei dieser Art von Angriffen werden nicht autorisierte Befehle von einem Benutzer eine Website gesendet. Betrachten Sie einen Editor, der in einer Anwendung (wie ein CMS oder Online-Banking-Service) angemeldet und daher im System zugelassen ist. Die Berechtigung kann in einem Session-Cookie im Browser des Benutzers gespeichert werden. Ein Angreifer kann eine E-Mail an die Person senden, mit einem Link zu einer Website mit vorbereiteten Bildern. Wenn der Browser die Bilder l\u00e4dt, k\u00f6nnte es tats\u00e4chlich eine Anfrage an das System senden, wo der Benutzer angemeldet ist und Befehle im Namen des angemeldeten Benutzers ausf\u00fchren.<\/p>\n","protected":false},"excerpt":{"rendered":"
Aus Sicherheitsgr\u00fcnden und zur Systemstabilit\u00e4t sollte jede Software gewartet werden. Ein wichtiger Teil der Wartung sind die regelm\u00e4\u00dfigen Updates und Upgrades von alten Versionen. Das ist f\u00fcr TYPO3 genau so wichtig, wie das regelm\u00e4\u00dfige Aktualisieren Ihres Virenscanners. Ein Update ist erforderlich, wenn die bisherige TYPO3-Version veraltet ist, neue Funktionen genutzt werden sollen oder Sicherheitsl\u00fccken entdeckt… Mehr lesen »So wichtig sind TYPO3 Updates<\/span><\/a><\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","neve_meta_reading_time":"","_themeisle_gutenberg_block_has_review":false,"_ti_tpc_template_sync":false,"_ti_tpc_template_id":"","footnotes":""},"categories":[292],"tags":[],"class_list":["post-2479","post","type-post","status-publish","format-standard","hentry","category-typo3"],"_links":{"self":[{"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/posts\/2479"}],"collection":[{"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/comments?post=2479"}],"version-history":[{"count":0,"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/posts\/2479\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/media?parent=2479"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/categories?post=2479"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.till.de\/wp-json\/wp\/v2\/tags?post=2479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}