Tag-Archive for » Überprüfung «

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Sicherheitsupdates für Ruby on Rails

rubyDas Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View.

Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle:

content_tag(:div, "hi", title: user_input.html_safe)

Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft.

Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können.

Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

PHP 7: Ausstieg einer Entwicklerin und die Folgen

phpmarginPer E-Mail mit dem Betreff „I quit – Ich höre auf“ hat Andrea Faulds ihren Rückzug aus der Entwicklung von PHP ankündigt.

In den letzten zwei Jahren hat Faulds an einigen grundlegenden Arbeiten an der nächsten Hauptversion der Programmiersprache mitgearbeitet und umfassende Änderungen für das kommende PHP 7 vorgeschlagen, deren Weiterentwicklung jetzt durch ihren Ausstieg ungewiss ist.

Das betrifft besonders das geplante und kontrovers diskutierte skalare Typensystem in PHP 7. Damit würde die Sprache um die Typen int, float, string und bool erweitert – und auch um eine strikte Überprüfung dieser Typen pro Datei, falls man das wünscht.

Faulds ist bisher auch für den Drei-Wege-Vergleichsoperator, den Void-Rückgabewert sowie die Unterstützung für sogenannte Big-Ints verantwortlich gewesen. Lassen wir uns überraschen, welche der Neuerungen den Weg in PHP 7 noch schaffen…