[TYPO3-german] Akute Sicherheitslücke in vielen TYPO3-Versionen

Peter Linzenkirchner liste at lisardo.de
Wed Jun 1 13:08:02 CEST 2016 

Hallo Jansass, 

im Prinzip stimme ich dir schon zu … vom Aufwand her geht mir so ähnlich. (Bei mir waren es letzte Woche insgesamt 8 Stunden). 

Aber: was von diesen Arbeitsschritten könnte durch ein automatisches Update entfallen? 

- Backup? Nein. 
- Update installieren. Ja. 
- Update aktivieren. Wahrscheinlich. 
- Update testen: Nein. 
- Update intern freigeben: Nein. 
- Datensicherung 30 Tage: Nein. 
- Rollback: Nein. 

Die reine Installation und Aktivierung eines Updates dauert max. 5 Minuten: SSH auf den Server, wget-Befehl ausführen, Archiv auspacken, Symlink umsetzen, Caches löschen. Könnte man mit einem Shell-Script sogar automatisieren. Für den Patch habe ich pro Server teilweise weniger als 2 Minuten benötigt. 

OK, Minuten sind auch Zeit, aber das Einspielen des Update ist doch immer der geringste Teil. Die anderen Schritte sind das Problem: Backup, Datensicherung, Test, Freigabe. Da drin steckt die Zeit, nicht im Update. Und die können wir nicht weglassen, ohne auf lange Sicht die Kunden zu verlieren. 

Natürlich kann man es so machen wie bei Mittwald: Auto-Update und vergiss den Rest. Kein eigenes Backup, kein Test, keine Datensicherung, keine Freigabe. (Wobei Mittwald Backups macht, aber nicht automatisch vor dem Update). Und natürlich auch kein Rollback, sondern warten bis zum nächsten Update, wenn was nicht geht. Kann man machen … manchmal. Bei kleinen Installationen handhabe ich das so. Aber bei den großen Kunden geht das so nicht, da fallen genau diese Schritte an, wie oben beschrieben. Was heißt: in genau diesen Fällen können oder dürfen(!) wir ein Auto-Update gar nicht nutzen. 

Gruß
Peter





> Am 01.06.2016 um 12:15 schrieb jansass <info at jansass.com>:
> 
> Peter,
> 
> nehmen wir mal 20 Installationen an, die mehr oder weniger jeder von uns im Portfolio hat. 20 x 15 Minuten = 5 Stunden; was sicherlich viel scheint, aber impliziert, daß  as Backup gerade durchläuft. Wir, wie viele anderen hier auch, sehen es aber ggf aus einem anderen Blickwinkel:
> 
> - Da fehlt ein Backup, also erst mal die Installation taren und SQL dumpen, beides wegsichern
> - Dann das Update installieren (mit allen erforderlichen Schritten)
> - Dann das Update "aktivieren" (/install/ > mehrere Caches löschen, DB-Prüfung, Extension-Check und ggf. Updates-Scripte ausführen)
> - Dann das Update testen (bei uns 2 dedizierte Seiten aufrufen und Funktion dort prüfen)
> - Update intern freigeben, Datensicherung von oben in 30 Tagen vernichten (aber bis dahin vorhalten)
> -- Oder Rollback des vorherigen Ist-Zustandes
> 
> Das haben wir teilweise gescriptet, daher kommen wir in der echten, wirklichen Realität mit 30 Minuten per Installation aus; von Hand sind das 2 Stunden.
> 
> Das wird Dank "patch" nun zweigleisig: Update/Upgrade ist das eine, Patch das andere, der Vorgang sonst der selbe.
> 
> Damit ist mal der Aufwand geklärt, den jeder von uns je Update seriöserweise treiben muß. Bei rund 4 Updates pa p Domain bräuchten wir dann schon mal einen Wartungsvertrag mit wenigstens 1.200 Euro net. nur für Core-Updates - je Installation!
> 
> Abseits der Schritte kommt aber auch hinzu, daß ein Admin dafür frei sein muß. High-Risk-Updates wie das aktuelle müssen aber sofort installiert werden und können nur von einem Superadmin durchgeführt werden (ua SSH-Rootzugang erforderlich); nicht von "normalen" Admins  zumindest nach unserer Policy und dt. Datenschutzbestimmungen.
> 
> Daher ist es absolut unverständlich für ein CMS wie Typo3 diese eigentlich banale Funktion nicht zu professionalisieren. Statt dessen wird in Backend-GUI investiert, was zweifelsohne richtig ist (aber mal echt: arbeiten in Grid Elements führen immer noch einen Reload aus??), aber evtl. die falsche Priorität hat.
> 
> Aber wir machen das seit Typo3 4.2 so, warum nicht auch noch bei Typo3 8LTS...
> 
> Jan Sass
> --
> jansass GmbH
> Lemsahler Dorfstraße 4  22397 Hamburg / Deutschland
> 
> Telefon	 	+49 40 300 36 844
> Telefax	 	+49 40 300 36 845
> Skype	 	jansass.gmbh
> E-Mail	 	info (at) jansass.com
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german



--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia

More information about the TYPO3-german mailing list