Am Freitag den 20.05.2016 wurde für den darauffolgenden Dienstag eine Sicherheitsmeldung angekündigt. Da derartige Ankündigungen bei TYPO3 äußerst selten sind, war entsprechende Vorsicht geboten.
Am Dienstag, 24.05.2016 gegen 10:30 CEST wurde in der weiteren Folge tatsächlich eine entsprechende Meldung veröffentlicht. Zeitgleich wurden aktualisierte TYPO3-Kerne zur Verfügung gestellt. Zusätzlich hat sich das Sicherheitsteam von TYPO3 rund um Georg Ringer aufgrund der Schwere der Lücke dankenswerter Weise dazu entschlossen, auch für veraltete, eigentlich nicht mehr unterstützte TYPO3-Versionen entsprechende Korrekturinformationen zur Verfügung zu stellen.
Kurze Zeit später wurde nochmals nachgebessert, da sich ein sogenannter 'Regression-Bug' eingeschlichen hatte, also ein Programmfehler dessen Auftreten direkt auf die Codeänderungen die Sicherheitslücke betreffend zurückzuführen ist.
Die Lücke ist als schwerwiegend zu beurteilen, da der Angreifer durch fehlende Überprüfungen der Zugriffsberechtigung in der Subkomponente 'extbase' beliebigen Code auf dem Server ausführen kann.
Bereits in den Abendstunden des 24. Mai waren sämtliche TYPO3-Sorgenfrei Kundeninstallationen von Riccabona eSolutions (ca. 100 dezidierte Installationen!) mit den entsprechenden Aktualisierungen versehen und unsere Kunden konnten somit beruhigt die wohlverdiente Nachtruhe antreten!