Folgende Punkte sollten bei einem Update von TYPO3 3.8.0 auf Version 3.8.1 beachtet werden:

• Es sollte sichergestellt werden, dass alle gecachten Bilder im Verzeichnis typo3temp gelöscht werden. Dies kann mit Hilfe der Option „typo3temp“ -> „statistics“ im Install Tool erfolgen.
• Wenn im TypoScript-Setup „config.baseURL=1“ gesetzt wurde, muss dies auf einen String geändert werden (z.B. „config.baseURL=http://www.yourdomain.org/“), bevor ein Update auf TYPO3 3.8.1 durchgeführt werden kann.
• Wenn Dateien in „typo3temp“ via Install Tool editiert wurden, sollten die bisher von TYPO3 erzeugten Backup-Dateien (filename.php~) gelöscht werden.

Was hat sich geändert?

Folgende Punkte sind in 3.8.1 hinzugekommen:

• Die Funktionen GMENU_LAYERS und TMENU_LAYERS sowie Image-Rollover funktionieren nun auch im Opera-Browser.
• Die Eigenschaft „addQueryString“ für die Klasse „typolink“ fügt dem generierten Link alle Parameter der aktuellen URL hinzu.
• Der Parameter „config.disableImgBorderAttr“ schaltet das Border Attribut für Bilder ab.
• Aufgrund eines Bugs in TYPO3 3.8.0 konnte der „Return Path“ für E-Mails nicht gesetzt werden, selbst wenn er explizit im Install Tool unter der Variable „$TYPO3_CONF_VARS['SYS']['forceReturnPath']“ eingetragen wurde.
• In TYPO3 3.8.0 gab es einen Fehler in Bezug auf das Darstellen von „klassischen“ tabellenbasierten IMGTEXT-Objekten. In Mozilla-, Firefox- und Opera–Browser wurden zentrierte und rechts ausgerichtete Bilder in der Folge linksbündig dargestellt. Im Internet Explorer hingegen war die Position der Bilder jedoch korrekt.

Sämtliche Fehler wurden korrigiert und die einwandfreie Funktionalität in der Version 3.8.1 sichergestellt.

Sicherheit

Folgende Punkte wurde aus Sicherheitsaspekten behoben oder verändert:

• WICHTIG: Die baseURL-Konfiguration zur automatischen Erkennung der baseURL („config.baseURL=1“) wurde entfernt. Die Einstellung wird nicht mehr zugelassen. Stattdessen muss eine baseURL nun explizit angeben werden (z.B. config.baseURL=http://www.yourdomain.org/“), da sonst eine Fehlermeldung ausgegebe wird.
• Ein Cross-Site-Scripting-Problem in der Datei „showpic.php“ wurde behoben.
• Die Tasten-Kombination „Shift-Reload“ um den Cache einer TYPO3-Website zu löschen, funktioniert in der neuen TYPO3 Version nur, wenn man auch im Backend angemeldet ist.
• Wenn mit Hilfe des Install Tools Dateien im Verzeichnis „typo3conf“ editiert wurden (z.B. die Datei „localconf.php“), so wurde davon ein Backup mit dem Namen „dateiname.php~“ angelegt. Diese Datei konnte per Web-Browser angesehen werden, sofern der Pfad und der Dateiname bekannt war. In der neuen TYPO3-Version werden Backup-Dateien nun nach der Konvention „dateiname._bak.php“ angelegt. WICHTIG: Entfernen Sie alle Backup-Dateien im Ordner „typo3conf/“ mit der Endung „.php~“.
• Ein Debug-Script zeigte Systeminformationen, die mittels der Funktion „phpinfo()“ bereitgestellt wurden. Für Details sollte im Security Bulletin auf typo3.org nachgeschaut werden. Dieses Problem wurde in der neuen Version behoben.
• Das „encryptionKey-Generierungstool“ im Install-Tool funktionierte nicht einwandfrei. Die ersten 32 Zeichen waren immer identisch, wenn ein neuer Key beim ersten mal erzeugt wurde.
• Da die in TYPO3 3.8.0 eingesetzte phpMyAdmin-Version 2.6.2 einige Sicherheitslücken enthielt, wird TYPO3 3.8.1 mit der Version 2.6.4-pl3 ausgeliefert.
• Die Konfigurations-Variable „TYPO3_CONF_VARS['SYS']['displayErrors']“ erhielt einen neuen Wert. Wenn „TYPO3_CONF_VARS['SYS']['displayErrors']=2“ eingestellt ist, werden PHP Meldungen nur ausgegeben, wenn „devIPmask“ der IP des Rechners entspricht. displayErrors und „devIPmask“ können im Install-Tool gesetzt werden.

Zusammenfassung

Die neue TYPO3 Version 3.8.1 ist ein Sevice Release und enthält keine neuen Funktionen. Aus Sicherheits-Aspekten sollte daher jede TYPO3-Installation auf die bereinigte 3.8.1 migriert werden.

Da keine Veränderungen am Datenbankschema vorgenommen wurden, muss lediglich der veränderte TYPO3-Quellcode eingebunden werden [1].