06.09.2018 | TYPO3 Release Notes

TYPO3 Version 8.7.19 wurde am 21.08.2018 veröffentlicht

Bugfixes und Security Update.

Quelle: TYPO3.org

Dieser Release enthält hauptsächlich Bugfixes für verschiedenste Core-Module wie Form, Recycler aber auch weitere Core Funktionalitäten wie z.B. Anpassungen an den TCA-Signaturen für Custom Controls, dem Linkvalidator, ImageMagick V7 Detection und viele weitere. Neben den Bugfixes beinhaltet dieses Update auch ein SecurityFix im ThumbnailController der es zuvor unter speziellen Umständen einem authentifizierten Backend-User ermöglichte, durch HTTP GET Query Parameter Manipulation eine Information Disclosure oder DOS Attack auszuführen. 

Hier geht's zum TYPO3 Update!

 

Unser Kommentar

Mit dem Update werden die Parameter nun mit HMAC signiert und somit wird dieser Angriffs-Vektor geschlossen. Da der entsprechende Source-Code, der erst zu dieser Lücke führte, noch nicht veröffentlicht wurde (somit auch auf keinem Produktivsystem zu finden ist), besteht für diese Angriffsversion aber keine Bedrohung bei TYPO3-Systemen vor dieser Version.

Beste Grüße,
Mirco Smolik (Head of Development)