[TYPO3-UG Dutch] Meerdere beveiligingslekken gevonden in de TYPO3 core

Patrick Broens patrick at netcreators.com
Sat Apr 4 13:50:14 CEST 2009


Willem 2program wrote:
> Oh absoluut perfect zelfs. Maar zaken als Cross-Site Scripting daar wordt
> toch wel op getest voor een release? 4.2.3 was net uit.Verder zijn er wel
> veel security issues geweest afgelopen jaar. Persoonlijk vind ik dat dat
> de betrouwbaarheid niet ten goede komt. Steeds upgraden geeft ook errors
> op het gebied van compatibiliteit en kost je zeeen van tijd. Willem
Willem,

Elke patch die op de core toegepast wordt, wordt gecontroleerd door
anderen dan diegene die de patch geschreven heeft.

Zoals je wellicht weet is een aantal jaar geleden het securityteam
opgericht. In het begin verliep dit nog moeizaam, maar de laatste tijd
loopt het erg goed. Niet alleen het core- en security team, maar ook
gebruikers zijn meer en meer serieus bezig om eventuele security issues
op te sporen. TYPO3 wordt in steeds grotere installaties gedraaid en dan
zijn deze screenings wel op zijn plaats.

Voor wat betreft de vele security issues; de meeste berichten gaan over
extensies, en niet de core. Bij extensies is het probleem dat iedereen
deze kan posten, zonder dat er een initiele screening plaats vindt. Ook
de reden waarom 'reviewed' extensies in het leven zijn geroepen,
alhoewel dit nog niet loopt zoals het moet. Als je al kijkt hoeveel
nieuwe extensies en updates worden gepost op de TER die eigenlijk direct
gereviewed dienen te worden dan weet je waarom. Daarom zijn we blij dat
er met name bedrijven zijn die gebruikte extensies screenen voor een
klant alvorens ze toegepast worden in een installatie.

Zolang je binnen dezelfde branch blijft (4.0, 4.1 of 4.2) is upgraden
geen probleem op het gebied van compatibiliteit. De versies hierbinnen
zijn alleen bedoeld om bugs en security issues op te lossen.

Dan nog even over de betrouwbaarheid: Zoals Bas van de Wiel al aangeeft
verloopt de communicatie en de werking van het securityteam goed.
Wanneer een issue gevonden wordt, dan wordt dit direct met het security
team gecommuniceerd en niet met de buitenwereld. De issues liggen dus
niet zomaar op straat. Elk stuk software kent security issues (draai je
toevallig M$ Windows?) of het nou commerciele of open source software
betreft. Natuurlijk doen we er alles aan om dat te voorkomen.

De opmerking over het bijhouden van 4 versies is totaal ongegrond. Zoals
 Bas al aangeeft is versie 5 een volledig ander product (wel beter te
screenen in de toekomst) en kent een ander core team. Als we niet de
drie 4.x versies bij zouden houden, dan zouden we weer commentaar
krijgen dat we te weinig doen aan backwards compatibiliteit. Nogmaals,
het enige onderhoud aan oude branches zijn security en bugfixes.

Patrick
> 
>   ----- Original Message -----
>   From: "Frans Saris"
>   To: "TYPO3 Usergroup Dutch"
>   Subject: Re: [TYPO3-UG Dutch] Meerdere beveiligingslekken gevonden in
>   de TYPO3 core
>   Date: Thu, 22 Jan 2009 11:22:47 +0100
> 
> 
>   Op 22 januari 2009 10:14 schreef Willem 2program het
>   volgende:
> 
>   > Zo, daar gaat de betrouwbaarheid van TYPO3.Dit heeft volgens mij
>   zelfs
>   > Joomla nog niet gepreseteerd.Hmm denk dat TYPO3 eens moet gaan
>   kijken
>   > naar de focus van ontwikkelingen.4 versies in de lucht houden (4.0,
>   4.1,
>   > 4.2 en 5.0) is natuurlijk vragen om problemen. Ben benieuwd
>   >
> 
>   Hoi Willem,
> 
>   snap je opmerking niet helemaal, vind je het niet goed dat ze
>   meerdere
>   security fixes uitbrengen?
> 
>   gr. Frans
>   _______________________________________________
>   TYPO3-UG-dutch mailing list
>   TYPO3-UG-dutch at lists.netfielders.de
>   http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-dutch
> 


More information about the TYPO3-UG-dutch mailing list