TYPO3 Merksatz #7: Sicherheitslücken nur an security(at)typo3(.)org melden

Für viele klingt es komisch, vor allem wenn sich die Sicherheitslücke in einer Erweiterung befindet, das nicht der Autor der Extension informiert werden soll, sondern ausschließlich das TYPO3 Security Team, siehe: http://typo3.org/teams/security/contact-us/

Dabei ist, wenn man den Hintergrund versteht, logisch und nachvollziehbar. Um einem potentiellen Angreifer, welcher ggf. das Extension Repository beobachtet, keinen Vorsprung zu geben, müssen alle gleichzeitig informiert werden. Deshalb ist es wichtig, das zunächst das TYPO3 Security Team informiert wird, dieses dann Kontakt mit dem Entwickler aufnehmen kann und wenn die Lücke behoben ist, alle gleichzeitig informiert werden.

[random_content group_id=”211" num_posts=”1"]

Leave a Reply

Your email address will not be published. Required fields are marked *