TYPO3 Updates – Versicherung oder überschätztes Sicherheitsbedürfnis?

Ein wenig provozierend der Titel dieses Blogposts – natürlich mit Absicht so gewählt. Die Antwort auf die obige Frage muss lauten: Abwägen!

Pauschal kann man nicht sagen, dass jedes erschienene Update auch zwingend die eigene TYPO3 Website betrifft und eingespielt werden sollte.  Leider ist es in der Praxis häufig so, dass die Kosten und Mühen für ein Update „gespart“ oder verdrängt werden und lieber abgewartet wird. Aber warten auf was?

Das ist dann in etwa so, wie wenn man mit seinem Internetauftritt „Russisch Roulette“ spielt. Gerade bei einer Firmenwebsite ist eine solche Entscheidung aus Sicherheitsüberlegungen nicht zu empfehlen.

Bezieht man sich auf die Sicherheit eines Systems, dann lassen sich Updates in die folgenden priorisierten Kategorien einteilen:

  • Prio 1: Security Issues -> Sicherheitslücken welche entdeckt wurden
  • Prio 2: Bugfixes -> Behebung von Fehlern in der Software
  • Prio 3: Improvements -> Funktionserweiterungen

Dabei kann natürlich ein Update auch Verbesserungen in allen 3 Bereichen beinhalten. Weiterhin gilt es zu unterscheiden, ob ein Update das TYPO3 Basissystem betrifft (den sogenannten CORE) oder sich auf Erweiterungen bezieht.  Genau hier kommt der Effekt zu tragen, dass nicht jedes Security Issue die eigene Website betreffen muss, da ja auch nicht überall dieselben Erweiterungen und Versionen eingesetzt werden.

Wie geht man also am besten als IT-Verantwortlicher mit dem Thema TYPO3-Updates um?

Der 3-Phasenplan

3-Phasenplan

1. Informieren

Um sich auf dem aktuellen Stand bezüglich Updatehinweisen zu halten gibt es glücklicherweise verschiedene Nachrichtenquellen. Erst sollte man sich in die Mailingliste von TYPO3 eintragen: http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-announce

Wer sich die News lieber per RSS zukommen lassen möchte, kann den TYPO3 Newsfeed unter http://typo3.org/news/ abonnieren. Neben Sicherheitshinweisen gibt es dort viele weitere nützliche Informationen zum weit verbreiteten CMS.

Wer einen Fehler gefunden hat, kann diesen direkt dem TYPO3 Security Team unter folgender Adresse melden und so zur Sicherheit aller Benutzer beitragen: http://typo3.org/teams/security/contact-us/

2. Bewerten

Informiert werden wir nun, jetzt geht’s ans abwägen, ob das Update relevant ist oder es mit gutem Gewissen ausgelassen werden kann? Betrifft es das Basissystem oder eine Extension?

Erhält man in den Releasenotes einen Hinweis in der Form „IMPORTANT: These versions include important security fixes …“ sollte man genauer hinsehen um was für eine Sicherheitslücke es sich handelt.

3. Handeln

Sie haben ein relevantes Update identifiziert, es geht nun ans handeln. Wie immer ist ein vorhandenes System-Backup Pflicht!

Entweder Sie sind mit TYPO3 auch administrativ vertraut und können den Updateprozess eigenständig durchführen oder Sie beauftragen einen Anbieter der dies kann (z. B. Namics ;-) ). Oder sie sind bereits unser Kunde und haben sich dafür entschieden innerhalb eines passenden Wartungsvertrages Ihre Website betreuen zu lassen (prima, dann haben wir die ersten beiden Schritte bereits für Sie erledigt und stimmen den Updateprozess nun mit Ihnen gemeinsam ab).

Wenn Sie keine Dienstleister beauftragen möchten dann sollten Sie sich vor einem Update folgende Überlegungen machen:

  1. Betrifft das Update meine Website?
  2. Backup vorhanden und kann dieses wieder eingespielt werden?
  3. Was ist von dem Update betroffen (Extension oder Basissystem)?
  4. Gibt es weitere Extensions welche nicht auf dem neuesten Stand sind? (dies lässt sich einfach über den Extensionmanager herausfinden)
    Hinweis:Ein Update einer Extension kann manchmal Probleme in der Darstellung auf der Website verursachen, häufig dann, wenn sich durch das Update Anpassungen in der Generierung der Frontendausgabe der Extension ergeben haben. Hierzu sollte man das Updatelog der Extension prüfen um herauszufinden was sich genau verändert hat.
  5. Existieren Erweiterungen welche modifiziert wurden (der Originalzustand also verändert wurde)?
    Hinweis: Bei einem Update von modifizierten Extensions gehen die Modifikationen normalerweise verloren, ein Zustand welcher in den seltensten Fällen gewünscht wird. Das bedeutet, dass zuerst herausgefunden werden muss was modifiziert wurde und dies dann wenn möglich im Update nachgetragen werden muss. Man sollte noch anmerken, dass man von Modifikationen an original Extensions genau aus dem Grund, nämlich der Wahrung der Updatefähigkeit, absehen sollte.
  6. Existieren Extensions im System welche nicht aktiviert sind und / oder nicht benötigt werden? Nicht benötigte Extensions sollten nicht nur deaktiviert sondern vollständig vom Filesystem entfernt werden.
  7. Wie ist der allgemeine Systemzustand des CMS? Hierzu kann bei neueren TYPO3 Versionen der Systembericht geprüft werden, bei älteren Versionen lohnt sich zumindest immer ein Blick in die Logfiles.
  8. Erfüllt das Hostingpaket noch die Anforderungen an ein Update des Basissystems? Bekanntes Beispiel hierfür ist ein Update auf eine neue TYPO3 Version, welche zwingend PHP in der Version 5.3 und höher erfordert. Ist man im Besitz eines Hostinganbieters welcher sich ein wenig Zeit lässt mit einem PHP Update und z. B. noch die PHP 5.2 Version einsetzt, hat man nach dem Update ein Problem. Dies sollte man vor dem Update feststellen ;-)
  9. … und weiteres

Es gibt also einiges zu beachten und sich bewusst zu machen, dass Sicherheit kein Softwarezustand ist, sondern ein Prozess welcher mit in die Betriebskostenbetrachtung einzubeziehen ist.

Können wir Sie zu diesem Thema unterstützen? Wenden Sie sich gerne an uns.

2 Gedanken zu “TYPO3 Updates – Versicherung oder überschätztes Sicherheitsbedürfnis?

    • Hallo Felix

      Vielen Dank für die Liste, das ist noch eine gute Übersicht. Jetzt hab ich die Tabs im Google Spreadsheet am unteren Rand zu den einzelnen TYPO3 Versionen auch gefunden. ;-)

      Viele Grüsse
      Markus

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>