Typo3 Meldung: Security Risk!

Nach einem Upgrade "begrüßte" mich ein Meldungsfenster im Typo3-Backend mit dem folgenden Text:

Wichtiger Hinweis! Security Risk! The new value of fileDenyPattern misses parts of its default: \.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$ If TYPO3 is running on Apache, a customized value might enable backend or frontend users to execute malicious php scripts.

Die Lösung hierfür befindet sich im Backend unter Installation > All Configuration > [fileDenyPattern]. Hier wird der in der Meldung gezeigte reguläre Ausdruck (regular expression) "vermisst". [text] \.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$ [/text] Diesen gilt es einzutragen beziehungsweise hinzuzufügen. Anschließend die Konfiguration abspeichern und gegebenenfalls den Cache löschen - fertig.

In der Variable $TYPO3_CONF_VARS['BE']['fileDenyPattern'] werden verbotene Dateiendungen anhand eines regulären Ausdrucks gespeichert. Alle hier aufgeführten Dateitypen lassen sich somit nicht mehr unter /fileadmin hochladen. Diese Sicherheitseinstellung unbedingt vornehmen, da hochgeladene Dokumente mit den Endungen .php oder eine .htaccess-Datei definitiv nichts in der Dateiliste verloren haben und ein hohes Risiko darstellen.