Tag-Archive for » Hash «

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

Ruby 2.4 zu Weihnachten verfügbar

Wie immer in den letzten Jahren folgt das Ruby-Projekt auch 2016 seiner Tradition und bringt ein neues größeres Release der Skriptsprache Ruby heraus. Die zu Weihnachten veröffentlichte Version 2.4 bringt viele Neuerungen.

Dazu gehören beispielsweise Verbesserungen bei Hash-Tabellen, die Zusammenführung der Integer-Klassen Fixnum und Bignum in Integer und auch die Groß- und Kleinschreibung mit Unicode in String-Methoden. Wie bei jedem neuen größeren Release haben die Entwickler auch weiter an der Performance der Skriptsprache geschraubt.

Nähere Details zur Version Ruby 2.4

Die neue offene Adressierung (open addressing) macht zusammen mit einem Array, das die Einfügungsreihenfolge beibehält (inclusion order array), die interne Struktur von Hash-Tabellen (st_table) besser handhabbar.

Das auch neu eingeführte binding.irb verhält sich recht ähnlich wie das beim Debugging wichtige binding.pry. Es startet aber dazu eine reguläre IRB (Interactive Ruby Shell). Ein anderes neues Feature betrifft ebenfalls den Bereich Debugging: Die Deadlock-Erkennung von Ruby 2.4 listet Threads jetzt mit ihrem Backtrace und den abhängigen Threads .

Bisher enthielt Ruby mit Fixnum und Bignum zwei Integer-Subklassen. Für Ruby 2.4 wurden diese nun mit Integer zusammengeführt. Das führt dazu, dass alle C-Extensions, die Fixnum oder Bignum benutzen, für Ruby 2.4 überarbeitet werden müssen.

Die Methoden String/Symbol#upcase/downcase/swapcase/capitalize(!) nutzen bei der Konvertierung in Groß- oder Kleinschreibung in der neuen 2.4er-Version die Unicode-Regeln; bisher verwendeten sie ASCII-Regeln.

OpenSSL 1.1.0 wird jetzt ebenfalls von Ruby unterstützt; der Support für OpenSSL 0.9.7 und älter Verschlüsselungen wurde hingegen aus Sicherheitsgründen aufgegeben. Last not least wurden wurden die Komponenten ext/tk und XMPRPC jetzt aus der Standardbibliothek entfernt.

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker!

Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt.

Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script.

Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die schließlich Geld für dies Programm bezahlt haben – auch wenn es nur 5 Dollar gekostet hat!

PHP 5.6 steht zum Download bereit

phpHeute wurde PHP 5.6, das neueste Release der 5.xer Entwicklungsschiene, veröffentlicht. Das letzte Update vor gut einem Jahr hatte die Version PHP 5.5 installiert.

PHP 5.6 bringt einen interaktiver Debugger, variadische Funktionen, einen rechtsassoziativer Operator, Importfeatures für Funktionen und Konstanten und auch die Möglichkeit, Dateien mit mehr als 2 GByte Größe hochzuladen, mit.

Um die Sicherheit in den PHP-Anwendungen zu verbessern wurden die Funktion hash_equals() eingeführt, der Einsatz von sicheren Verbindungen mit SSL/TLS verbessert und auch der Hash-Algorithmusgost-crypto ergänzt.

Weitere Informationen zu allen Änderungen und Verbesserungen finden sich in den Migrationshinweisen. Auch das Dokument über die mit PHP 5.6 entfernten Features kann für das Update älterer Lösungen wichtig werden.