<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

    Liebe Kitodo-Community,<br>

    <br>

    unser Kollege Kajetan Dvoracek hat eine kritische Sicherheitslücke

    in Kitodo.Presentation gefunden. Die Lücke besteht schon viele Jahre

    und erlaubt es interne Informationen über den Webserver abzufragen.

    Es ist dazu Expertenwissen notwendig und man hat nur lesenden

    Zugriff. Trotzdem ist die Lücke kritisch.<br>

    <br>

    Wir haben dies dem TYPO3-Security-Team gemeldet und Patches für die

    Behebung eingereicht. Die Patches wurden gereviewed und freigegeben.

    <br>

    <br>

    Morgen-Mittag werden die Bugfix-Releases bereit stehen. Gleichzeitig

    wird dann über die Existenz der Sicherheitslücke erstmals

    informiert. Die Information erfolgt u.a. über die TYPO3 Advisory

    Mailinglist und auf der entsprechenden Webseite [1]. Da Sie

    möglicherweise nicht auf dieser Mailingliste sind, wollte ich Sie

    vorab informieren.<br>

    <br>

    Folgende Releases haben wir vorbereitet:<br>

    <ul>

      <li>Version 3.3.4 für TYPO3 9.5 ELTS</li>

      <li>Version 3.2.3 für TYPO3 8.7 ELTS und TYPO3 9.5 ELTS</li>

      <li>Version 2.3.2 für TYPO3 7.6 ELTS und TYPO3 8.7 ELTS</li>

    </ul>

    Das Update erfolgt per "composer update". Außer der Behebung der

    Sicherheitslücke gibt es keine Änderungen am Code zur jeweiligen

    Vorversion auf Patchlevel-Ebene (z.B. 3.3.3 --> 3.3.4).<br>

    <br>

    Ich bitte Sie, alle Produktiv- und Entwicklungssysteme zeitnah zu

    aktualisieren.<br>

    <br>

    Wenn Sie Fragen und/oder Probleme beim Update haben, können Sie sich

    gerne an mich oder die Liste wenden.<br>

    <br>

    Viele Grüße<br>

    <br>

    Alexander Bigga<br>

    <br>

    [1] <a class="moz-txt-link-freetext" href="https://typo3.org/help/security-advisories">https://typo3.org/help/security-advisories</a><br>

    <pre class="moz-signature" cols="72">-- 

Alexander Bigga

Stellvertretender Referatsleiter Digitale Präsentation

Sächsische Landesbibliothek –

Staats- und Universitätsbibliothek Dresden (SLUB)

Abteilung IT, Referat 2.1 Digitale Präsentation

01054 Dresden

Besucheradresse: Zellescher Weg 18, 01069 Dresden

Tel.: +49 351 4677 212

E-Mail: <a class="moz-txt-link-abbreviated" href="mailto:alexander.bigga@slub-dresden.de">alexander.bigga@slub-dresden.de</a>

<a class="moz-txt-link-freetext" href="https://www.slub-dresden.de">https://www.slub-dresden.de</a> | <a class="moz-txt-link-freetext" href="https://digital.slub-dresden.de">https://digital.slub-dresden.de</a></pre>

  </body>

</html>