[TYPO3-german] Akute Sicherheitslücke in vielen TYPO3-Versionen

jansass info at jansass.com
Wed Jun 1 12:15:10 CEST 2016 

Peter,

nehmen wir mal 20 Installationen an, die mehr oder weniger jeder von uns im Portfolio hat. 20 x 15 Minuten = 5 Stunden; was sicherlich viel scheint, aber impliziert, daß  as Backup gerade durchläuft. Wir, wie viele anderen hier auch, sehen es aber ggf aus einem anderen Blickwinkel:

- Da fehlt ein Backup, also erst mal die Installation taren und SQL dumpen, beides wegsichern
- Dann das Update installieren (mit allen erforderlichen Schritten)
- Dann das Update "aktivieren" (/install/ > mehrere Caches löschen, DB-Prüfung, Extension-Check und ggf. Updates-Scripte ausführen)
- Dann das Update testen (bei uns 2 dedizierte Seiten aufrufen und Funktion dort prüfen)
- Update intern freigeben, Datensicherung von oben in 30 Tagen vernichten (aber bis dahin vorhalten)
-- Oder Rollback des vorherigen Ist-Zustandes

Das haben wir teilweise gescriptet, daher kommen wir in der echten, wirklichen Realität mit 30 Minuten per Installation aus; von Hand sind das 2 Stunden.

Das wird Dank "patch" nun zweigleisig: Update/Upgrade ist das eine, Patch das andere, der Vorgang sonst der selbe.

Damit ist mal der Aufwand geklärt, den jeder von uns je Update seriöserweise treiben muß. Bei rund 4 Updates pa p Domain bräuchten wir dann schon mal einen Wartungsvertrag mit wenigstens 1.200 Euro net. nur für Core-Updates - je Installation!

Abseits der Schritte kommt aber auch hinzu, daß ein Admin dafür frei sein muß. High-Risk-Updates wie das aktuelle müssen aber sofort installiert werden und können nur von einem Superadmin durchgeführt werden (ua SSH-Rootzugang erforderlich); nicht von "normalen" Admins  zumindest nach unserer Policy und dt. Datenschutzbestimmungen.

Daher ist es absolut unverständlich für ein CMS wie Typo3 diese eigentlich banale Funktion nicht zu professionalisieren. Statt dessen wird in Backend-GUI investiert, was zweifelsohne richtig ist (aber mal echt: arbeiten in Grid Elements führen immer noch einen Reload aus??), aber evtl. die falsche Priorität hat.

Aber wir machen das seit Typo3 4.2 so, warum nicht auch noch bei Typo3 8LTS...

Jan Sass
--
jansass GmbH
Lemsahler Dorfstraße 4  
22397 Hamburg / Deutschland

Telefon	 	+49 40 300 36 844
Telefax	 	+49 40 300 36 845
Skype	 	jansass.gmbh
E-Mail	 	info (at) jansass.com

More information about the TYPO3-german mailing list