<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    Liebe Kitodo-Community,<br>

    <br>

    heute Mittag wurden die angekündigten Security-Releases

    veröffentlicht und das entsprechende Security Bulletin [2]

    veröffentlicht.<br>

    <br>

    Bitte aktualisieren Sie Ihre Systeme. Wenn Sie Unterstützung

    brauchen, melden Sie sich bitte.<br>

    <br>

    Viele Grüße<br>

    <br>

    Alexander Bigga<br>

    <br>

    [2] <a class="moz-txt-link-freetext" href="https://typo3.org/security/advisory/typo3-ext-sa-2022-001">https://typo3.org/security/advisory/typo3-ext-sa-2022-001</a><br>

    <br>

    <div class="moz-cite-prefix">Am 14.02.22 um 11:28 schrieb Alexander

      Bigga:<br>

    </div>

    <blockquote type="cite"

      cite="mid:1167a4ff-39b6-ea0d-8fdd-d582b9fe4f56@slub-dresden.de">

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      Liebe Kitodo-Community,<br>

      <br>

      unser Kollege Kajetan Dvoracek hat eine kritische Sicherheitslücke

      in Kitodo.Presentation gefunden. Die Lücke besteht schon viele

      Jahre und erlaubt es interne Informationen über den Webserver

      abzufragen. Es ist dazu Expertenwissen notwendig und man hat nur

      lesenden Zugriff. Trotzdem ist die Lücke kritisch.<br>

      <br>

      Wir haben dies dem TYPO3-Security-Team gemeldet und Patches für

      die Behebung eingereicht. Die Patches wurden gereviewed und

      freigegeben. <br>

      <br>

      Morgen-Mittag werden die Bugfix-Releases bereit stehen.

      Gleichzeitig wird dann über die Existenz der Sicherheitslücke

      erstmals informiert. Die Information erfolgt u.a. über die TYPO3

      Advisory Mailinglist und auf der entsprechenden Webseite [1]. Da

      Sie möglicherweise nicht auf dieser Mailingliste sind, wollte ich

      Sie vorab informieren.<br>

      <br>

      Folgende Releases haben wir vorbereitet:<br>

      <ul>

        <li>Version 3.3.4 für TYPO3 9.5 ELTS</li>

        <li>Version 3.2.3 für TYPO3 8.7 ELTS und TYPO3 9.5 ELTS</li>

        <li>Version 2.3.2 für TYPO3 7.6 ELTS und TYPO3 8.7 ELTS</li>

      </ul>

      Das Update erfolgt per "composer update". Außer der Behebung der

      Sicherheitslücke gibt es keine Änderungen am Code zur jeweiligen

      Vorversion auf Patchlevel-Ebene (z.B. 3.3.3 --> 3.3.4).<br>

      <br>

      Ich bitte Sie, alle Produktiv- und Entwicklungssysteme zeitnah zu

      aktualisieren.<br>

      <br>

      Wenn Sie Fragen und/oder Probleme beim Update haben, können Sie

      sich gerne an mich oder die Liste wenden.<br>

      <br>

      Viele Grüße<br>

      <br>

      Alexander Bigga<br>

      <br>

      [1] <a class="moz-txt-link-freetext"

        href="https://typo3.org/help/security-advisories"

        moz-do-not-send="true">https://typo3.org/help/security-advisories</a><br>

      <pre class="moz-signature" cols="72">-- 

Alexander Bigga

Stellvertretender Referatsleiter Digitale Präsentation

Sächsische Landesbibliothek –

Staats- und Universitätsbibliothek Dresden (SLUB)

Abteilung IT, Referat 2.1 Digitale Präsentation

01054 Dresden

Besucheradresse: Zellescher Weg 18, 01069 Dresden

Tel.: +49 351 4677 212

E-Mail: <a class="moz-txt-link-abbreviated moz-txt-link-freetext" href="mailto:alexander.bigga@slub-dresden.de" moz-do-not-send="true">alexander.bigga@slub-dresden.de</a>

<a class="moz-txt-link-freetext" href="https://www.slub-dresden.de" moz-do-not-send="true">https://www.slub-dresden.de</a> | <a class="moz-txt-link-freetext" href="https://digital.slub-dresden.de" moz-do-not-send="true">https://digital.slub-dresden.de</a></pre>

      <br>

      <fieldset class="moz-mime-attachment-header"></fieldset>

      <pre class="moz-quote-pre" wrap="">_______________________________________________

Kitodo-Community mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Kitodo-Community@kitodo.org">Kitodo-Community@kitodo.org</a>

<a class="moz-txt-link-freetext" href="https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-community">https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-community</a>

</pre>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Alexander Bigga

Stellvertretender Referatsleiter Digitale Präsentation

Sächsische Landesbibliothek –

Staats- und Universitätsbibliothek Dresden (SLUB)

Abteilung IT, Referat 2.1 Digitale Präsentation

01054 Dresden

Besucheradresse: Zellescher Weg 18, 01069 Dresden

Tel.: +49 351 4677 212

E-Mail: <a class="moz-txt-link-abbreviated" href="mailto:alexander.bigga@slub-dresden.de">alexander.bigga@slub-dresden.de</a>

<a class="moz-txt-link-freetext" href="https://www.slub-dresden.de">https://www.slub-dresden.de</a> | <a class="moz-txt-link-freetext" href="https://digital.slub-dresden.de">https://digital.slub-dresden.de</a></pre>

  </body>

</html>