TYPO3 Release 13.4.27
In der Reihe TYPO3 Release-Notizen beleuchten wir regelmäßig die wichtigsten Bug-Fixes/Security-Issues oder wichtigen Änderungen in einem neuen Patchlevel-Release. Diese Releases sind gemäß Roadmap bereits terminiert und erscheinen grob einmal im Monat.
Bugs haben je nach Projekt unterschiedliche Auswirkungen. Was in einem Projekt kritisch ist, kann in einem anderen kaum eine Rolle spielen. Unsere Gewichtung ist daher subjektiv und soll die Relevanz anderer Fixes nicht herabspielen.
Aktuelles Release
Das neue Maintenance-Release behebt am spürbarsten einen Browser-Caching-Bug für SVG-Icons.
Auch in EXT:form wurden hilfreiche Bugfixes durchgeführt. Der mitgelieferte CKEditor v5 wurde aktualisiert um ein potentielles Sicherheitsrisiko (JavaScript in frames) zu vermeiden.
Insgesamt gab es 37 Änderungen.
Regression-Bugfixes
EXT:form
- WissenswertBeim bearbeiten von Formularen in mehreren Browser-Tabs konnten die Sessiondatein durcheinander geraten, und nach der Speicherung weitere Formulare nicht mehr bearbeitet werden. Dies ist nun behoben. Bitte beachten, dass das gleichzeitige Bearbeiten von demselben Formular in mehreren Browsertabs weiterhin einen Fehlerzustand provoziert.
- Vermeidung einer Fehlermeldung zum FileUpload-Zugriff in der Formularvorschau
- Der SaveToDatabaseFinisher kann nun auch in Datenbanktabellen speichern, die keine "UID" Spalte besitzen, ohne dass eine Fehlermeldung erscheint.
TypoScript
API (Frontend / Extbase)
Content Security Policy (CSP)
- CSP-Regeln innerhalb der Standard-Fehlerseiten werden zentraler zur HTTP-Response-Erzeugung ausgewertet
- Die Importmap im Backend-PageRenderer wertet script-src-elem in den CSP-Regeln korrekt aus
Backend: UI
API: Backend
- Sehr wichtigDie "recursive" Option des "FilesDataProcessor" wird nun wieder korrekt ausgewertet und wirft keinen PHP-Typfehler mehr, falls der Schlüssel nicht gesetzt wurde.
- WissenswertBei Nutzung von open_basedir erzeugen Icon-URL-Aufrufe keine falsch erzeugten Pfade mehr
- Die "defVals" Parameter bei Nutzung von JavaScript-Routen werden nun korrekt übermittelt
- Der Seitenbrowser wertet nun das korrekte Attribut für "Ist verlinkbar" aus um verlinkbare Seiten im Modal-Popup zu kennzeichnen
- Die Standard `.htaccess` Datei enthält keine doppelte HTTP Header 'Cache-Control' definition mehr
- Die Funktion "GeneralUtility::implodeAttributes()" kann nun auch (ungültige) HTML-Attribute ausgeben, die nur aus Zahlen bestehen.
- Vermeidung einer Fehlermeldung beim Löschen einer Datei mit Dateireferenzen, die nicht mehr existieren
PHP-Typfehler
- Vermeidung von Typfehler in Datahandler-Methode `checkValue_SW` für Null-Typdeklaration
- Vermeidung eines PHP 8.5 Typfehlers für eine leere Kategorie-Zuweisung in settings.definitions.yaml Dateien
Backend: CKEditor
- WissenswertUpgrade auf CKEditor 5 v47.6 behebt einige Bugs in Bezug auf XSS (Edge-Case, konfigurationsspezifisch) und Listenverhalten, soviel zahlreiche AI-Verbesserungen
- Die Nutzung von Ersetzungen via regulärer Ausdrücke mit Pattern-Matching und Null-Werten via YAML-Konfiguration funktioniert nun ohne Fehlermeldungen
Backend: Lokalisierung
Backend: EXT:reports
EXT:recycler
- Beim Löschen einer Auswahl an Papierbkorb-Datensätzen werden vorherige Filter-Einstellungen nun für Folgeaktionen beibehalten.
- Die Blätterfunktion im Papierkorb zeigt keine falschen Seitenzahlen mehr an, wenn Elemente mit Sub-Typen enthalten sind.
- Der Runtime-Cache für das Caching von Usernamen in der Papierkorb-Ansicht war fehlerhaft und zeigt jetzt wieder korrekte Zuordnungen an.
Dependencies
- WissenswertSymfony 7.4 (LTS) wird als Abhängigkeit definiert
- Update von PHPdocumentor Abhängigkeiten
- Update von NPM Abhhängigkeiten
