Tag-Archive for » Security «

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Gleich zwei neue Releases von Symfony

Das  PHP-Framework Symfony, dessen Entwicklung vor ca. zehn Jahren im Rahmen der Begeisterung für Ruby on Rails startete, ist jetzt in gleich zwei neuen Releases veröffentlicht worden.

Funktionell sind die beiden Versionen 2.8 und 3.0 komplett gleich. Das Release 3.0 wirft aber zusätzlich auch Altlasten über Bord und wird so einfach schneller.

Wie Ruby baut auch Symfony auf die Model View Controller (MVC)-Architektur. Symfony wurde in PHP 5 geschrieben und wird zurzeit unter der Leitung von Fabien Potencier entwickelt und gepflegt, der jetzt im Blog die Veröffentlichung von Symfony 2.8 und 3.0 ankündigte.

Neue Funktionen in Symfony

Zu den neuen Funktionen der beiden Versionen 2.8 und 3.0 gehören eine neue LDAP-Komponente, die Änderung der Prioritäten von Event-Listenern und auch einige Security-Erweiterungen.

Auch beim Debugging und Profiling hat sich einiges geändert. Die komplette Liste der Änderungen gegenüber Symfony 2.7 finden Sie in dem Blog-Beitrag, mit dem Potencier die Beta-Version von Symfony 2.8 ankündigte. Viele der Neuerungen in Symfony betreffen den Umgang mit Web-Formularen, zu denen es einen zusätzlichen Eintrag gibt.

Die Rückwärtskompatibilität

Das Programmier-Team hat jetzt auch einige der alten Funktionen für überholt erklärt (deprecated). In der Version 3.x wurden viele dieser veralteten Funktionen ausrangiert und dann die Minimalanforderung für PHP dementsprechend auf die Version 5.5.9 angehoben. 

So erreicht man zwar eine bessere Leistung, allerdings müssen die Entwickler ihren Programmcode eventuell noch entsprechend anpassen. Die Version Symfony 2.8 bietet die neuen Funktionen aus 3.0 bei besserer Rückwärtskompatibilität.

Symfony steht unter einer MIT-Lizenz und wird auf GitHub auch im Quellcode zum Download angeboten.

Zend bietet Langzeit-Support für PHP an

phpmarginDie maßgeblich an der Entwicklung der freien Programmiersprache PHP- beteiligte Firma Zend Technologies bietet ab sofort einen Long Term Support für die Skriptsprache an.

Zurzeit unterstützt die PHP-Community ein großes Release der Programmiersprache drei Jahre lang. Darüber hinaus können Anwender jetzt von Zend einen verlängerten Support für die PHP-Laufzeitumgebung über ein LTS-Release des Zend-Server erhalten.

Dies Release umfasst Support- und Security-Hotfixes sowohl für Zend Server als auch für die darin enthaltenen PHP-Laufzeitroutinen über einen längeren Zeitraum hinweg.

Als naheliegendes Beispiel nennt Zend PHP 5.3, das von Seiten der PHP-Community nur noch bis Juli 2014 unterstützt wird. Für diese Version kann Zend Support-Leistungen bis Februar 2017 garantieren.

Open-Source-Techniken wie PHP werden schon seit Jahren auch in professionellen Umgebungen eingesetzt. Für solche professionellen Nutzer dürfte das Angebot von Zend eine große Hilfe sein, um Internetanwendungen auf PHP-Basis längere Zeit ohne Migration laufen lassen zu können.