Tag-Archive for » Bugs «

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren.

Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet.

Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten.

Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen.

Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4.

Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

Sicherheitsupdates für PHP

PHP_BugsÜber eine Sicherheitslücke in der Funktion unserialize() können Kriminelle Code in PHP-Anwendungen einschleusen.

Dagegen helfen die aktuellen Updates für die PHP-Versionen 5.6.6, 5.5.22 und 5.4.38, die so schnell wie möglich eingespielt werden sollten, weil schon ein Exploit existiert, der diese Sicherheitslücke ausnutzt. Das Problem besteht mit allen PHP-Installationen, die nicht auf dem aktuellen Stand sind.

Darüber hinaus werden Angriffe über die Ghost-Lücke in der GlibC durch das Update erschwert und diverse weitere Bugs behoben, die man zum Beispiel im Changelog der Version 5.6.6 sehen kann.

Flash für Android ist nicht tot zu kriegen

Flash11AndroidEigentlich wollte Adobe sich dem Trend zu HTML 5 anschließen und für Flash auf mobilen Geräten wie Smartphones und Tablets nur noch reduzierten Support bieten. Jetzt gab es aber doch wieder eine neue Version (11.1.115.34) von Flash herausgebracht, in der die Google Play-Bugs beseitigt und die Performance verbessert wurden.

Allerdings werden Smartphones und Tablets mit dem aktuellen Betriebssystem Android 4.1 wie gehabt nicht mehr unterstützt. Sie verweigern auch die Installation aus Google Play heraus.

Auf diesen Geräten kann man aber eine APK-Datei im Forum xda-developers finden, die sich installieren läßt. Laufen will sie aber nicht mit dem Android-Original-Browser, sondern mit nachinstallierten Browsern wie Firefox für Android und Dolphin.