[Kitodo] Wichtiges Sicherheits-Update für Kitodo.Presentation ab 15.02.22 verfügbar

Alexander Bigga alexander.bigga at slub-dresden.de
Mo Feb 14 11:28:42 CET 2022 

Liebe Kitodo-Community,

unser Kollege Kajetan Dvoracek hat eine kritische Sicherheitslücke in 
Kitodo.Presentation gefunden. Die Lücke besteht schon viele Jahre und 
erlaubt es interne Informationen über den Webserver abzufragen. Es ist 
dazu Expertenwissen notwendig und man hat nur lesenden Zugriff. Trotzdem 
ist die Lücke kritisch.

Wir haben dies dem TYPO3-Security-Team gemeldet und Patches für die 
Behebung eingereicht. Die Patches wurden gereviewed und freigegeben.

Morgen-Mittag werden die Bugfix-Releases bereit stehen. Gleichzeitig 
wird dann über die Existenz der Sicherheitslücke erstmals informiert. 
Die Information erfolgt u.a. über die TYPO3 Advisory Mailinglist und auf 
der entsprechenden Webseite [1]. Da Sie möglicherweise nicht auf dieser 
Mailingliste sind, wollte ich Sie vorab informieren.

Folgende Releases haben wir vorbereitet:

  * Version 3.3.4 für TYPO3 9.5 ELTS
  * Version 3.2.3 für TYPO3 8.7 ELTS und TYPO3 9.5 ELTS
  * Version 2.3.2 für TYPO3 7.6 ELTS und TYPO3 8.7 ELTS

Das Update erfolgt per "composer update". Außer der Behebung der 
Sicherheitslücke gibt es keine Änderungen am Code zur jeweiligen 
Vorversion auf Patchlevel-Ebene (z.B. 3.3.3 --> 3.3.4).

Ich bitte Sie, alle Produktiv- und Entwicklungssysteme zeitnah zu 
aktualisieren.

Wenn Sie Fragen und/oder Probleme beim Update haben, können Sie sich 
gerne an mich oder die Liste wenden.

Viele Grüße

Alexander Bigga

[1] https://typo3.org/help/security-advisories

-- 
Alexander Bigga
Stellvertretender Referatsleiter Digitale Präsentation

Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Präsentation
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 212

E-Mail:alexander.bigga at slub-dresden.de

https://www.slub-dresden.de  |https://digital.slub-dresden.de
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://bibservices.biblio.etc.tu-bs.de/pipermail/kitodo/attachments/20220214/13547d15/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5997 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://bibservices.biblio.etc.tu-bs.de/pipermail/kitodo/attachments/20220214/13547d15/attachment.bin>
-------------- nächster Teil --------------
_______________________________________________
Kitodo-Community mailing list
Kitodo-Community at kitodo.org
https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-community

Mehr Informationen über die Mailingliste Kitodo