TYPO3 News

Neu Updates des TYPO3 Cores 4.1.15, 4.2.14, 4.3.5 and 4.4.2

Fri, 06 Aug 2010 13:11:00 +0200

In den neuen Core Versionen von TYPO3 werden nur Bugfixes der letzten Sicherheitsupdates gemacht. Genaue Beschreibung der Bugfixes k�nnen hier eingesehen werden: http://wiki.typo3.org/index.php/TYPO3_4.1.15 http://wiki.typo3.org/index.php/TYPO3_4.2.14 http://wiki.typo3.org/index.php/TYPO3_4.3.5 http://wiki.typo3.org/index.php/TYPO3_4.4.2

Probleme beim Update auf TYPO3 4.4 umgehen

Mon, 02 Aug 2010 18:00:00 +0200

So wurde wiederholt davon berichtet, dass nach dem Update das Backend nicht mehr erreichbar ist. Statt dessen erscheint eine Fehlermeldung, dass bestimmte Dateien nicht gefunden werden.

Dabei k�nnte es sich - je nach Browser und Zufall - um folgende Dateien handeln: Exception file not found: tab.js
Exception file not found: swfupload.js Die Fehlermeldung ist keine Fehlermeldung die TYPO3 erzeugt, sondern sie l�sst sich in der Erweiterung js_css_compressor finden. Diese Erweiterung vor dem Update zu deaktivieren oder auf den neusten Stand zu bringen hat bei einigen Installationen von uns nicht geholfen. In diesem Fall mussten wir nach einem Update auf die neuste Version von js_css_compressor noch alle Dateien aus dem Verzeichnis typo3temp und die tempor�ren Daten aus dem Verzeichnis typo3conf l�schen. P.S.: Wenn das Backend nicht mehr erreichbar ist, helfen einige Tricks

Das Install tool bleibt in vielen F�llen �ber /typo3/install erreichbar
In der localconf.php lassen sich im Array $TYPO3_CONF_VARS['EXT']['extList'] problematische Erweiterungen deaktivieren
Es l�sst sich jederzeit auf die Vorg�ngerversion zur�ckschalten (symlink anpassen) und das Backend ist wieder erreichbar.

Sicherheitsupdate f�r TYPO3

Wed, 28 Jul 2010 17:46:00 +0200

Ein Sicherheitsupdate f�r alle aktuellen Versionen von TYPO3 schlie�t zahlreiche Sicherheitsl�cken. Siehe dazu:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/ Unter den behobenen Fehlern sind L�cken, die MySQL-Injections oder Cross-Site-Scripting erm�glichen. Beim Update wird die Datenbank des Systems nicht ge�ndert. Es kann also ohne jegliche Gefahr f�r die Inhalte der Seite eingespielt werden.

TYPO3 version 4.4 wurde heute ver�ffentlicht

Tue, 22 Jun 2010 20:52:00 +0200

Mit der Ver�ffentlichung von TYPO3 Version 4.4 gab es viele Neuerungen und Verbesserungen in TYPO3. Sowohl das Backend als auch das Frontend wurden stark �berarbeitet. Auch extbase und fluid wurden nach langen Tests fest verankert. Die Neuerungen umfassen neben einer einfacheren Installation und einer neuen Aufgabenverwaltung, auch einen viel schnelleren Rich-Text-Editor als bisher. Das alles gestaltet die Arbeiten mit Typo3 viel einfacher und schneller. Eine detailliertere �bersicht �ber die Neuerungen in Typo3 findet man hier: http://typo3.org/download/release-notes/typo3-44/

sprechende Links zu PDF-Dateien mit RealURL

Wed, 16 Jun 2010 16:31:00 +0200

RealUrl und pdf Generator 2 in Typo3 gemeinsam zum Laufen zu bringen.

Mit der Erweiterung pdf_generator2 lassen sich sehr einfach PDF-Dateien aus Typo3-Seiten erstellen.

Einfach die Erweiterung installieren und einen kleinen Typ-Script-Schnippsel ins TS-Template einbauen.

pdf_generator = PAGE
pdf_generator {
   stylesheet = layout_styles_pdf.css

   50 = CONTENT
   50 < styles.content.get
   50.wrap = |
}

Leider gibt es erhebliche Probleme, die Erweiterung zusammen mit RealUrl zu verwenden.

Zwar lassen sich mit RealUrl leicht sch�ne Links zu den PDF-Dokumenten anlegen

'print.pdf' => array(
       'keyValues' => array(
       'type' => 123,
   ),
),
der PDF-Generator zeigt dann aber nur noch eine wei�e Seite, oder leitet zur Fehlerseite der Installation weiter.

Das Problem ist, dass der pdf_generator2 eine eigene Routine mitbringt, um PDF-Links zu erzeugen.
In der Datei
class.tx_pdfgenerator2.php
Wird in der Funktion tslib_fe_checkAlternativeIdMethods abgefragt, ob diese Methode angewendet wird.
Ist realUrl aktiv, sollte folgende Abfrage deaktiviert werden

if ($parts[$pCount-1]=='pdf'){

�ndern in

if ($parts[$pCount-1]=='deaktivert'){

und schon klappt es.

Typo3 Sicherheitsl�cke

Sat, 10 Apr 2010 15:25:00 +0200

In den Versionen 4.3.0, 4.3.1 und 4.3.2, als auch in den bisherigen Development-Versionen von Typo3 Version 4.4 ist eine sicherheitskritische L�cke bekannt geworden, die es Angreifern erm�glicht PHP Code von extern einzuschleusen und in Typo3 auszuf�hren. Die Entwickler raten daher umgehend das erst erschienene Update auf Version 4.3.3 durchzuf�hren. Sollte dies nicht m�glich sein, muss mindestens eine der folgenden Variablen auf "off" gestellt sein: register_globals (Standard: "off") allow_url_include (Standard: "off") allow_url_fopen (Standard: "on") Diese k�nnen �ber phpinfo(); angezeigt werden. Update: Auch der Heise-Zeitschriftenverlag hat auf dem seiner Internetseite �ber den Fehler berichtet. http://www.heise.de/newsticker/meldung/Typo3-Remote-Command-Execution-via-PHP-moeglich-974763.html Es ist dringend zu empfehlen, dort wo noch nicht geschehen, das Update so schnell wie m�glich einzuspielen, da das Problem als sehr kritisch eingestuft werden muss.

Sicherheitsupdate f�r alle TYPO3 4.3.x Cores

Thu, 08 Apr 2010 15:03:00 +0200

Am Freitag den 9. April werden Sicherheitsupdates f�r alle TYPO3 4.3.x Cores erscheinen. Es wird dringend geraten alle Version 4.3.x auf 4.3.3 zu aktualisieren, da es sich um einen wichtigen Sicherheitsbugfix handelt. Die neuen Cores findet ihr ab 9.00 Uhr CEST 9. April auf typo3.org.

TYPO3 CORE Sicherheitsupdates

Tue, 23 Feb 2010 12:40:00 +0100

F�r alle Versionen von TYPO3 sind heute Sicherheitsupdates erschienen. Es kann zu Cross Site Scripting kommen. Daher wurden f�r alle Versionen neue TYPO3 COREs ver�ffentlicht, die dieses Problem beheben. Es wird dringend empfohlen diese Updates zeitnah durchzuf�hren, oder durchf�hren zu lassen. Unter http://typo3.org/download/packages/ k�nne die aktuellen Paketversionen heruntergeladen werden. F�r die aktuellen CORE Updates sind keine Aktualisierungen der Datenbanken notwendig.
Die aktuellen Versionsnummern lauten:

TYPO3 4.3.2
TYPO3 4.2.12
TYPO3 4.1.13

Bitte beachten Sie auch, da� f�r die Versionen 4.1.x der Support voraussichtlich Juni 2010 endet und f�r die Versionen 4.2.x der Support voraussichtlich ende diesen Jahres ausl�uft. Falls Sie einen Umstieg auf eine neuere Version in erw�gung ziehen, vergewissern Sie sich bitte bei ihrem Hosting-Anbieter, das hier die entsprechenden PHP Versionen zu Verf�gung stehen.

Version 4.3.2 -> PHP 5.2.x - 5.3.x
Version 4.2.12 -> PHP 5.1.x - 5.2.x
Version 4.1.13 -> PHP 4.3.x - 5.2.x

Sicherheitsupdates f�r T3BLOG, Event Manager, Game Article DB

Mon, 01 Feb 2010 12:36:00 +0100

Heute sind Sicherheitsupdates f�r diverse Erweiterungen erschienen:

"T3BLOG" (tblog)
Eine L�cke in der Variablen�berpr�fung erm�glicht SQL-Injections und Cross-Site-Scripting �ber das Frontend der Erweiterung. Es wird daher dringend ein Update auf die neuste Version von T3Blog empfohlen.

"Event Manager" (eventmanagement)
In der Version 0.0.1 sind SQL Injections m�glich. Die Version 0.0.2 steht im Repository zum Download bereit.

"Game Article DB" (game_articledb)
In der Version 0.3.0 und darunter sind SQL Injections m�glich. Zum jetzigen Zeitpunkt gibt es noch kein Sicherheitsupdate f�r diese Erweiterung, daher steht sie im Repository nicht mehr zum Donwload bereit. Falls Sie diese Erweiterung verwenden, bitte deinstallieren Sie diese und l�schen alle Dateien die zu dieser Erweiterung geh�ren.

"Simple career" (ml_career)
Die Version 0.1.1 erm�glicht Cross-Site-Scripting und SQL-Injections. Im Repository steht die Version 0.1.2 zum Download bereit.

"Surprise Calendar" (ml_surprisecalendar)
Die Version 0.3.1 erm�glicht Cross-Site-Scripting und SQL-Injections. Im Repository steht die Version 0.3.2 zum Download bereit.

"Search Api Ajax Google" (searchajaxgoogle)
In der Version 0.0.2 und darunter sind SQL Injections m�glich. Zum jetzigen Zeitpunkt gibt es noch kein Sicherheitsupdate f�r diese Erweiterung, daher steht sie im Repository nicht mehr zum Donwload bereit. Falls Sie diese Erweiterung verwenden, bitte deinstallieren Sie diese und l�schen alle Dateien die zu dieser Erweiterung geh�ren.

"Download Manager" (spr_downloadmanager)
In der Version 3.0.0 und darunter sind SQL Injections m�glich. Zum jetzigen Zeitpunkt gibt es noch kein Sicherheitsupdate f�r diese Erweiterung, daher steht sie im Repository nicht mehr zum Download bereit. Falls Sie diese Erweiterung verwenden, bitte deinstallieren Sie diese und l�schen alle Dateien die zu dieser Erweiterung geh�ren.