[TYPO3-german] Akute Sicherheitslücke in vielen TYPO3-Versionen

[Bernhard Ludwig]

Am 01.06.2016 um 11:56 schrieb Peter Kühnlein <peter at function2form.net>:
> 
> Am 01.06.2016 um 11:17 schrieb Bernhard Ludwig:
>>> 
>>> Am 31.05.2016 um 17:36 schrieb Thilo Ratnaweera <thilo.ratnaweera at netbrothers.de>:
>>> 
>>> Hallo Jorge,
>>> 
>>> Am 31.05.2016 um 17:05 schrieb Jorge:
>>>> Warum macht das Typo3 Team das nicht ein bißchen einfacher mit den
>>>> Update? Ich weiß nicht wie man mit so einem Shellscript arbeitet.
>>>> Manometer...ich  brauch ne Fortbildung!
>>> 
>>> das Skript ist nicht unbedingt notwendig. Es ist nur für diejenigen
>>> hilfreich, die schnell patchen wollten, ohne ein Core-Update zu machen.
>>> Falls Du eine neuere TYPO3-Version hast, dann kannst Du im "Install
>>> Tool" unter "Important actions" einen Core-Update machen also keinen
>>> Major-Upgrade auf eine neue LTS-Version sondern nur ein kleineres Update
>>> auf die höchste verfügbare Minor-Version. In diesem Update ist der Fix
>>> dann schon enthalten und Du sparst Dir das Skript. Ein Backup schadet
>>> trotzdem nicht.
>>> 
>>> Gruß,
>>> Thilo
>> 
>> Hallo,
>> 
>> leider muss man dazusagen, dass momentan offensichtlich die wenigsten Server die Funktion des automatischen Coreupdate aus dem Installtool heraus unterstützen. Bei meinen Zugriffen auf Server ist von ca. 15 Servern, darunter sowohl ältere als auch ganz aktuelle, V-Server, Managed Server und von Kunden selbst betreute „hauseigene“ Server, kein einziger dabei, der das automatische Coreupdate unterstützt.
>> 
>> Da würde ich mir wünschen, dass das so unproblematisch funktioniert, wie z.B. bei Wordpress, das unter anderem auch auf den von mir genannten Servern läuft und dort, im Gegensatz zu TYPO3, die Updates ohne Probleme verarbeitet werden.
>> 
>> Ich habe keine Ahnung, was da anders läuft, als bei TYPO3, aber wenn es bei Wordpress geht, warum dann nicht auch bei TYPO3?
>> 
>> Viele Grüße,
>> Bernhard
> 
> Ich verstehe gar nicht, was das Problem ist. Ich betreue zig Installationen, die ich warte. Wenn eine neue Minor-Version rauskommt, lade ich das Ding (zum Teil entpackt, wenn die kein Zielmaschine kein tar kennt) auf die Maschinen (insofern der Provider nicht eh ein automatisches Update anbietet), benenne den alten typo3_src-Symlink um, setze den neuen auf die neue Version und lösche die alte. Das ist keine Zauberei und dauert je nach Serververbindung 15 Minuten Ladezeit (also Rechnerzeit in der ich was Vernünftiges tun kann) je Installation und 2 Minuten im ssh zum Linkändern und -entfernen.
> 
> Und dann habe ich auch schon fertig...
> 
> LG Peter
> 

Hallo Peter,

ja, Du sprichst hier den Idealfall an, der leider nur zu selten vorkommt. Solch idealisierte Zeitangaben für ein Update, selbst in einer Minor-Version, sind nicht ehrlich im Aufwand erfasst. Damit täuschst Du etwas vor, was nicht dem Tatsächlichen gerecht wird. 

Es fängt ja schon damit an, dass man nur selten die Installation auswendig kennt und sich dadurch zunächst, um eine Gesamtübersicht zu erhalten,  damit vertraut machen muss. Dann muss man zwingend die Technotes lesen, um auch hier auf der sicheren Seite zu sein und ein Backup von Web und DB ist ebenfalls anzuraten. Anschließend bietet sich an, dass man in diesem Zuge die Extensions auf Neuerungen prüft, damit man nicht nur die neueste Version des Core hat, sondern auch hier auf der sicheren Seite ist. Nun denn, im Installtool alle Punkte abarbeiten und zu guter Letzt testen, ob das Frontend noch in allen Browsern das zeigt, was es soll. Manchmal treten auch irgendwelche Probleme auf, die man nicht erwartet hat, was weitere Zeit kostet.

Wie viel Zeit das im Einzelfall benötigt, lässt sich kaum pauschal beziffern und schon gar nicht mit einer generalisierten viertel Stunde.


Viele Grüße,
Bernhard Ludwig