Das TYPO3 Security Team hat heute ein neues Security Bulletin für Sicherheitslücken in diversen TYPO3 Extensions veröffentlich. Betroffen sind folgende Extensions:

• Attac Calendar (attacalendar)
• Attac Petition (attacpetition)
• Subscription (eu_subscribe)
• Exinit job offer (exinit_joboffer)
• Frontend File Browser (fefilebrowser)
• Javascript and Css Optimizer (js_css_optimizer)
• From a csv-file to a html-table (kk_csv2table)
• SEO Pack for tt_news (lonewsseo)
• MySQL to JSON (mn_mysql2json)
• News Search (news_search)
• Tip-A-Friend Plus (tipafriend_plus)
• Twitter Auth Service (twitter_auth)
• sofortueberweisung2commerce (sofortueberweisung2commerce)
• UserTask Center, Messaging (sys_messages)

Die Sicherheitsprobleme in einigen der genannten Extensions werden mit kritisch oder hoch bewertet. Eine schnelle Überprüfung der eigenen Installationen ist also dringend angeraten.

Details zu den Sicherheitslücken finden sich im Security Bulletin TYPO3-EXT-SA-2013-002.

Wie dem Beitrag auf typo3.org zu entnehmen ist, wurden die diesjährigen T3DD13 auf den Sommer vertagt. Die Entwickler-Tage, welche sonst im Frühjahr bekannt gegeben werden (update: Danke für den Hinweis), haben noch keinen festen Ort und auch noch kein Datum. Ein Planungs-Prozess, sodass die T3DD13 nocht im April stattfinden könnten, wäre sehr straff. Damit genug Zeit für Sponsoren-Suche, Early-Bird-Preise, Speakersuche etc. da ist, wurde das Event auf mitte Sommer verschoben. Es wird vermutet, dass der Termin zur GA im Feabraur bekannt gegeben werden kann.

Unter dem Titel „Improve“ hat Benni eine News auf typo3.org veröffentlicht, in der es um die neue Version 6.1 von TYPO3 CMS geht. Ziel der neuen Version soll es sein die Stabilität, Sicherheit und Performance zu erhöhen indem man den zahlreichen kleinen Dingen einen zusätzlich Fokus gibt. Pareto würde sagen, „wir wagen uns an die letzten 20%“, sodass TYPO3 ein „rundes“ Produkt wird 🙂 Beispiele für „Mehrfach-Implementierungen“ bzw. verschiedenen Schnittstellen nennt Benni ebenfalls: „We have multiple tree rendering types, we have different behaviors in click menus, we have different types of hooks, different ways to delete a single file, different ways to list elements etc.“. Zusätzlich geht es natürlich darum den Code näher an Flow/Neos heran zurücken.

Features wird es natürlich auch geben: FAL wird besser für die neue „Media“-Extension vorbereitet, Prototype soll zu gunsten von jQuery aus dem Backend verbannt werden und der Extension-Handling-Prozess soll einfacher und flexibler werden. Zusätzlich setzt Benni, aber ich denke wir alle zusammen ebenfalls, auf Community-Projekte wie „Media“ (DAM-Ablösung), Depyloment und die CE-Layouts „Grid Elements“.

Darüber hinaus gibt es auch schon einen festen Fahrplan…

• Alpha 1: Februar 18, 2013
• Alpha 2: März 5, 2013
• Beta 1: März 26, 2013
• Beta 2: April 9, 2013
• RC 1: April 23, 2013
• Final Release: April 30, 2013

Während sich die bewährte TYPO3-Test- und Übungswebsite typo3-test.org noch immer großer Beliebtheit erfreut, stellt a7digital nun drei neue TYPO3-Demo- und Test-Websites in den aktuellen TYPO3-Versionen 6.0, 4.7 und 4.5 LTS (Long-Term-Support) zur Verfügung.

Ebenso wie auf der bereits bekannten können Benutzer auf den neuen Test- und Demo-Websites die Arbeit als Redakteur mit dem Content Management System TYPO3 kostenlos und ohne Registrierung ausprobieren. Dafür gibt es verschiedene deutsche und englische Subdomains mit jeweils in der passenden Sprache eingerichtetem Backend und Frontend. Dies ermöglicht es mehreren Benutzern gleichzeitig TYPO3 zu testen, ohne sich gegenseitig zu behindern.

Für diejenigen, die die TYPO3-Test-Website bereits kennen, wurden die neuen Demo-Websites inhaltlich weitgehend gleich eingerichtet. Neben einer Website zur freien Bearbeitung der Seiten und Inhalte steht auch wieder eine Referenz-Website als Vorlage zum Nachschauen zur Verfügung. Die ursprüngliche Test- und Übungswebsite, typo3-test.org, war in der TYPO3-Version 4.2 passend zur TYPO3-Videoschulungsserie für Redakteure eingerichtet worden, um Benutzern beim Üben eine leichte Orientierung zu ermöglichen. Silke Arend, die Inhaberin von a7digital, erklärt: „Die Video-Version TYPO3 4.2 wird nicht mehr gepflegt. Mit den drei neuen Demo-Installationen decken wir alle derzeit aktuellen TYPO3-Versionen ab, sodass jeder Nutzer die für ihn interessanteste testen, aber bei Bedarf weiterhin die Video-Schulungsserie als Hilfe nutzen kann“.

Eine Aktualisierung der TYPO3-Videoschulungsserie plant a7digital nach Erscheinen der nächsten TYPO3-LTS-Version.

Im Dezember hat das Team von Mittwald ein TYPO3 Sondermagazin zur Zukunft des Content Management Systems veröffentlicht, welches als Printexemplar über die Webseite kostenlos bestellt werden kann. Neben zahlreichen Inhalten, welche alle die neue Struktur von TYPO3 erklären, gibt es auch direkt ein Anmeldeformular für eine TYPO3 Association Mitgliedschaft, mit der bei Interesse bis zu 500€ gespart werden können. Wenn man also dabei sein will… vielleicht „jetzt einsteigen“.

Mehr Informationen zum Sondermagazin erhaltet ihr im Mittwald Blog oder auf der Mittwald Webseite.

Auf folgende Themen können sich die Leser freuen:

• Die TYPO3 Markenfamilie
• Die Zukunft von TYPO3
• Die Historie von TYPO3
• Interview mit Karsten Dambekalns
• HowTo: Erste Schritte mit TYPO3 Neos
• TYPO3 Pinnwand
• TypoScript 2.0 Cheat Sheet

Das TYPO3 Security Team hat ein Security Bulletin wegen Sicherheitslücken in folgenden Extensions veröffentlicht:

• news
• onetimeaccount
• phpunit
• div2007
• t3mootools
• t3jquery
• oneclicklogin

Kritisch ist die Schwachstelle in der Extension onetimeaccount. Die Sicherheitslücken in den anderen Extensions werden als mittel oder gering eingestuft.

div2007 dürfte noch in vielen älteren Instanzen eingesetzt werden. Da die Extension als Abhängigkeit von anderen Extensions installiert wird, ist vielen möglicherweise nicht bewusst, dass die Extension installiert ist.

Für t3mootools gibt es aktuell keine aktualisierte Version, da der Extension Autor die Extension nicht weiter pflegen möchte. Vielleicht findet sich ja jemand, der die Wartung der Extension übernehmen möchte, denn t3mootools wird sich noch in einigen älteren Extensions eingesetzt.

Auch für oneclicklogin gibt es aktuell keinen Patch, dieser ist laut Extension Autor aber in Arbeit.

Wie immer empfehlt das Security dringend, die betroffenen Extensions zu aktualisieren oder zu löschen. Weitere Details finden sich im Security Bulletin TYPO3-EXT-SA-2013-001: Several vulnerabilities in third party extensions.