TYPO3 Security blickt über den Tellerrand
Das TYPO3 Security Team wird zukünftig ein neues Informationsformat für TYPO3 Produkte oder zu Webseite typo3.org veröffentlichen. Die TYPO3 Security Public Service Announcements (PSA) werden jedoch nicht unbedingt im zeitlichen Zusammenhang mit einem Software Release veröffentlicht wie das bei anderen PSAs der Fall ist. Dennoch sollen in den TYPO3 PSAs Informationen enthalten sein, wie sicherheitsrelevante Probleme behoben werden können.
Zu den Inhalten der TYPO3 Security Public Service Announcements zählen:
- Sicherheitsprobleme von Drittanbietern (third party software) wie beispielsweise Apache, Nginx, MySQL oder PHP, die mit TYPO3 im Zusammenhang stehen
- mögliche sicherheitsrelevante Fehlkonfiguration von Drittanbieter-Software
- mögliche Fehlkonfiguration von TYPO3 Produkten
- sicherheitsrelevante Informationen über die Infrastruktur von typo3.org sowie
- wichtige Hinweise zur sicheren Verwendung von TYPO3 Produkte.
Ist der Sicherheitshinweis ohne Software-Release ein Vor- oder Nachteil?
Einerseits erhalten Admins Informationen zu Sicherheitsproblemen von Drittanbietern, beispielsweise zur typischen Webserver-Konfiguration vieler Hoster: LAMP (Linux, Apache, MySQL, PHP). In diesen Fällen hängt es nicht vom TYPO3 Security Team ab, ob ein Software Release veröffentlich wird. Eine frühzeitige Information über Sicherheitsprobleme bzw. Fehlkonfiguration von Drittanbieter-Software ist im Zweifelsfall ein Vorteil und ermöglicht dem Administrator zu agieren, anstatt zu reagieren.
Auch bei Hinweisen auf Sicherheitsprobleme in Infrastruktur von typo3.org ist ein Informationsvorsprung besser als später das Nachsehen zu haben. So können Maßnahmen von den Verantwortlichen und den Usern rechtzeitig durchgeführt werden.
Auch bei der Fehlkonfiguration von TYPO3 Produkten, bei denen das Sicherheitsproblem letztlich auf Fehlern im TYPO3 Core, TYPO3 Extensions bzw. dem damit zusammenhängenden Installationsprozess beruht, sollte der PSA Vorteile bringen. Sollten umfangreichere Anpassungen notwendig sein, wird sicherlich ein Hotfix-Release verbreitet werden.
Konsequenzen für Administratoren und Entwickler Der Druck erhöht sich.
Server- und TYPO3 Admins sowie Entwickler müssen Up-to-Date bleiben und sich über die bekannten Kanäle [1] informieren. Im Ernstfall heißt es: schnell handeln – aber das sollte doch eigentlich schon immer so sein. Wahrscheinlich erhöht sich die Schwierigkeit die veröffentlichten Sicherheitshinweise umzusetzen, da es zu deren Behebung mitunter mehr Know-How bedarf, als das bloße Einspielen einer neuen Version. Und für Softwareentwickler stellt das veröffentliche PSA hoffentlich einen Ansporn dar, ein Bugfix zu entwickeln, damit ein Security-Update veröffentlicht werden kann.
Ob PSAs veröffentlicht werden, die weder auf ein Software Update verweisen noch einen Migrationspfad bereitstellen bleibt abzuwarten. Als Wahrscheinlich sehe ich es derzeit nicht an, dass so ein Fall eintreten wird. Denn sonst wäre die einzige Konsequenz, das System abzuschalten oder engmaschig zu überwachen, bis eine Lösung verfügbar ist.
Erneut besten Dank an das TYPO3 Security Team sowie alle daran Beteiligten, die TYPO3 dauerhaft sichern. Nicht nur zu TYPO3 zu berichten, sondern auch über Drittanbieter ist eine wertvolle Leistung! Ein guter Auftakt für 2014 wie ich meine.
[1] Zu finden sind TYPO3 PSAs an diesen Stellen im Netz oder E-Mail Postfach. Bitte unbedingt abonnieren!
Weitere Informationen:
