Hallo Freddy. Wer eine TYPO3-Sicherheitslücke findet wird gebeten, die vertraulich zu behandel und einerseits ausschließlich, andererseits aber unbedingt das Security-Team darüber zu informieren.
Die Diskussion von Sicherheitslücken über öffentliche TYPO3-Kanäle (zumindest bevor ein entsprechender Fix announced wurde) ist verboten. Das Security-Team ist angehalten (die genaue harte Regelung musst du dann die Teammember fragen), diese Lücken selbst nicht weiter zu verbreiten, und insbesondere nicht zum eigenen Nutzen schon mal an seine Kunden. Demmach kann ich mir nur drei Situationen vorstellen: Entweder ist abaton.at über ein Security-Team-Member an eine noch nicht veröffentlichte Lücke gekommen. Dann gehört dieses Security-Team-Member rituell gevierteilt. Allerdings schließe ich das aus, das traue ich keinem Mitglied des Security-Teams zu. Oder aber abaton.at ist im Besitz einer Lücke die dem Team noch nicht zugespielt wurde. In diesem Fall halte ich es für grob fahrlässig, das erst mal zum eigenen Vorteil zu nutzen und Kunden zu fangen, anstatt die Lücke dem Security-Team mitzuteilen und erst nach vorhandenem Fix zu handeln. Oder aber abaton.at lügt hier einfach. Das halte ich für die wahrscheinlichste Variante. Dein 4.5.29 ist zwar nicht mehr auf der Höhe der Zeit weil es die älteste supportete Version ist. Aber es ist eben nicht irgend eine beliebige Version sondern es ist der aktuelle Patch-Level der aktuellen LTS. Zwar solltest du dir bei Gelegenheit Gedanken über einen Wechsel machen. Allerdings ist "End of Maintenance" für 4.5 der Oktober 2014. Du hast also noch grob ein Jahr Zeit und kannst dich darauf verlassen, dass gefundene Sicherheitslücken auch geschlossen werden. Wenn du dich ganz enorm gestört fühlst, darfst du deine E-Mail sicher in Gänze inklusive verwendeter Kontaktdaten dem Security-Team weiterleiten. Die werden dir zwar auch nicht mehr sagen als ich, aber vielleicht fühlt sich einer von denen ja dazu berufen, dem Herrn Abaton mal nen förmlichen Brief zu schreiben. http://typo3.org/teams/security/ Übrigens, mein Teamleiter, Andreas Förthner, sitzt da auch im Security-Team. Und außer "komm Morgen mal nicht all zu spät, vielleicht müssen wir spontan nen Patch einspielen" hat der mir noch nie gesagt. Geschweige denn Inhalte verraten. Gruß, Stephan Schuler Web-Entwickler Telefon: +49 (911) 539909 - 0 E-Mail: stephan.schu...@netlogix.de Website: media.netlogix.de -- netlogix GmbH & Co. KG IT-Services | IT-Training | Media Neuwieder Straße 10 | 90411 Nürnberg Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99 E-Mail: i...@netlogix.de | Internet: http://www.netlogix.de netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338) Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634) Umsatzsteuer-Identifikationsnummer: DE 233472254 Geschäftsführer: Stefan Buchta, Matthias Schmidt ________________________________________ Von: typo3-german-boun...@lists.typo3.org [typo3-german-boun...@lists.typo3.org]" im Auftrag von "Freddy Tripold [freddy.trip...@tlog.at] Gesendet: Dienstag, 20. August 2013 20:44 An: typo3-german@lists.typo3.org Betreff: [TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken? Hallo Liste, ich hab heute ein Mail zugeschanzt bekommen, das mich doch sehr erstaunt. Laut diesem Mail der Firma abaton hat die Version 4.5.29 "erhebliche Sicherheitslücken"! Wissen "Association Member", worauf im Mail dezidiert hingewiesen wird, mehr als wir anderen? Oder ist das nur ein rotzfrecher Versuch um ahnungslose Kunden, die man nach jahrelangem Kampf endlich von der Notwendigkeit der Sicherheitsupdates überzeugt hat, abzuzocken oder will man damit den Kunden nur einen gehörigen Schrecken versetzen? Nachdem bis Halloween noch ein bißchen hin ist, schließe ich letzteres aus. Nachfolgend auszugsweise das Mail, damit ihr eure Kunden schon mal vorwarnen könnt ;-) Sehr geehr..., ich melde mich bei Ihnen betreffend Ihre Website ...... Wir - die Firma abaton EDV-Dienstleistungs GmbH <http://www.abaton.at/> - sind im Zuge unserer Recherche auf Ihre Website ..... gestoßen und haben festgestellt, dass Ihre bestehende Website nicht mehr zeitgemäß und aktuell ist. Zudem setzen Sie derzeit ein TYPO3 CMS der Version 4.5 ein (aktuell: 4.5.29), welches mittlerweile erhebliche Sicherheitslücken aufweist Daher unsere Anfrage: * Haben Sie in letzter Zeit schon einmal über eine Update Ihres TYPO3 CMS nachgedacht? * Oder ist gar ein Relaunch Ihrer Website für Sie eine denkbare Option? * Möchten Sie mit uns ein solches Projekt planen und umsetzen? * Haben Sie Interesse mit einem der führenden Open Source & TYPO3-Webentwickler in Österreich zusammenzuarbeiten? Gerne bin ich auch für Rückfragen und Ihre Anliegen rund um Ihren Web-Auftritt persönlich für Sie erreichbar. Sie erreichen mich unter den u. a. Kontaktdaten. ................ P.S.: Wir sind derzeit eines von nur drei gelisteten, österreichischen Unternehmen auf http://typo3.org/ und damit Ihr "Professional Services Partner <http://typo3.org/support/professional-services/show/abaton-edv-dienstleistungs-gmbh/> "! ................... -- Freddy Tripold http://www.tlog.at "Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!" (Weisheit der Dakota-Indianer) _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
