Gerade eben wurde eine neue TYPO3-Version veröffentlicht und zwar 4.3.2 und 4.2.12. Damit werden zahlreiche Sicherheitslücken aber auch andere Bugs geschlossen.
Die Details über die Behebung der Sicherheitslücken werden am besten – wie immer – dem Security Bulletin auf typo3.org entnommen. Der Überblick über die Issues:
- Zahlreiche Cross-Site Scripting (XSS)-Lücken quer durch den Core wurden gefixt.
- Die Systemextension sys_action konnte in bestimmten Umständen von Usern dazu verwendet werden, um Informationen über andere Backend-User zu erlangen (aber nicht deren Passwort).
- Ein Fehler in der Extension saltedpasswords (ab 4.3. im Core) konnte dazu genützt werden, um sich mit dem Hash-Wert einzuloggen.
Informationen zu allen anderen Bugfixes kann man am besten dem Changelog auf wiki.typo3.org entnehmen (der zur Zeit des Schreibens dieses Artikels noch nicht gefüllt war). In dem Zusammenhang ist möglicherweise auch die schön aufbereitete Übersicht über die gerade unterstützten Versionen unter http://typo3.org/download/packages/ interessant.
Wie immer gilt: Rasch aktualisieren und neue (und natürlich auch alte) Bugs im Bugtracker melden