Was ist zu tun bei Typo3-Sicherheitswarnungen?

Nur für Administratoren!

Die Warnungen betreffen in der Regel nur solche 'Dinge', die auch innerhalb von Typo3 zu behandeln sind, denn für Extensions 'Marke Eigenbau' z.B. wird man keine Alarmmeldung erhalten selbst wenn sie höchst sinnvoll wäre.

Das aktuelle Typo3 erlaubt es im Backend, (lokale) Extensions mit wenigen Klicks zu aktualisieren. Gegebenenfalls wird vor Inkompatibilitäten gewarnt.

check for updates
Vor dem Aktualisieren ...
retrieve updates
... erstmal aktualisieren!


Betrifft die (potenzielle) Sicherheitslücke jedoch den Kern von Typo3, so ist ein Update z.B. beim Hoster Mittwald, der Sicherheitswarnungen von Typo3.org an seine Kunden sendet, zunächst mit einem Klick im Verwaltungsbereich des Paketes (Kundenlogin) erledigt.

Allerdings kann es dabei zu unerwünschten Nebeneffekten kommen, wie man sie von anderen Updates kennt. Insbesondere sollte man beachten, dass unter Umständen weitere 'sites' die betreffende Typo3-Installation nutzen.
Weiterhin ist es (speziell bei einem größeren Versionssprung) in der Regel nötig, im Backend von Typo3 im Modul 'Installation' den Änderungen (z.B. der Datenbankstruktur) Rechnung zu tragen.
Im schlimmsten Fall (bei Mittwald höchst unwahrscheinlich) ist das neue Typo3 schlicht nicht mehr lauffähig. Etwa weil PHP5 nötig aber nur PHP4 verfügbar ist.

Warnung im Typo3-Backend

Der Weg zum Installationsmodul ist evtl. verlegt, denn eine auffällige Warnung rät dieses an. Weiterhin wird ein Password verlangt, das nicht das des Admins sein muss.

 

Wen es betrifft

Je nach Herkunft einer Meldung kann sie irrelevant sein, weil etwa die genannte Erweiterung nicht installiert ist.
Eine Sicherheitslücke in einer Backend-Erweiterung muss den nicht kümmern, der das Backend exklusiv nutzt oder nur mit Admins teilt. (Aber ist das auch zukünftig der Fall?)
Eine Lücke im Typo3-Kern muss nicht alle Typo3-Zweige betreffen.

 

In Sicherheit wiegen

Wie Micro$oft nicht immer ganz korrekt betont, ist die beobachtete Häufigkeit von in ihren Produkten gefundenen Sicherheitslücken der weiten Verbreitung dieser geschuldet.
Im Umkehrschluss darf man feststellen, dass ältere Typo3-Installationen und exotischere Extensions nicht unbedingt so sicher sind, wie es den Anschein haben mag.