Typo3-Sicherheitslücke… a.k.a. the end of all things
Heute war ja mal wieder was los. Alle laufen sie wie aufgescheuchte Hühner durch die Gegend. Wovon ich rede? Die Jungs hinter Typo3 haben heute eine Sicherheitslücke geschlossen. Soweit so gut. Die Lücke ist auch schon echt übel (Auslesen aller Dateien, auf die der Webserver Zugriffsrechte hat). Soweit so unschön.
Die absolute Härte ist aber das Ausmaß des Mail-Terrors, der diesbezüglich betrieben wird. Als Gelegenheitsnutzer von Typo3 hab ich mich vorbildlich in die typo3-announce-Liste eingetragen und wurde somit schon gestern vorab informiert, dass heute um 9 Uhr GMT das Update rauskommen würde. Für den Fall, dass ich neben dieser Mail auch die beiden Mails heute gegen 9 Uhr GMT verpasst hätte, hätte es folgende weitere Möglichkeiten gegeben, das zu erfahren: heise.de, hetzner-status.de, gleicher Text nochmal per Mail von Hetzner, gefühlte 10 Mio. Nachrichten über RSS und jetzt eben noch ne weitergeleitete Mail vom besten Fotografen der Welt.
Ich find das ja total lieb von den Leuten, dass sie mich darauf hinweisen wollen… Aber eigentlich sollten die Leute, die es betrifft, sich wirklich in die Mailinglist eintragen. Bei anderen Sicherheitslücken wird ja auch nicht gleich so getan, als ginge die Welt unter.