Über GSL-Team

Der Autor hat bisher keine Details angegeben.
Bisher hat GSL-Team, 910 Blog Beiträge geschrieben.

Sicherheitsupdate: Angriffe auf Drupal-Admins möglich

Weil Angreifer mit dem CMS Drupal erstellte Websites attackieren könnten, haben die Entwickler des Content Management Systems Drupal jetzt zwei Sicherheitslücken geschlossen, deren Risiko die Entwickler insgesamt  als "moderat kritisch" ein stufen. Die Probleme stecken im CKEditor Beiden Schwachstellen (CVE-2021-41164 "hoch", CVE-2021-41165 "mittel") stecken in dem in Drupal integrierten CKEditor. Allerdings sollen einer Warnmeldung zufolge aber nur solche Websites angreifbar sein, bei denen die CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig so eingestellt ist, geht aus der Meldung leider nicht hervor. In einem so eingestellten System könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es denkbar, dass etwa Admins ins Visier von XSS-Angriffen geraten. Die bereinigten Versionen Die Drupal-Versionen 8.9.20, 9.1.14 und 9.2.9 sind jetzt gegen solche Angriffe abgesichert worden. Für 9er-Versionen vor 9.1.x ist der Support inzwischen ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der letzte Sicherheitspatch.  Weil Drupal 7 den CKEditor nicht benutzt, ist diese Version insgesamt nicht von dem Problem betroffen.

2021-11-19T18:13:23+02:00November 19th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate: Angriffe auf Drupal-Admins möglich
Weiterlesen

Google Chrome 96: Update bringt viele Verbesserungen

Weil Google den Releasezyklus für seinen Browser Chrome inzwischen auf vier Wochen verkürzt hat, ist mit Chrome 96 schon wieder eine frische Major-Version verfügbar. Das Update bringt viele Verbesserungen und Fehlerbehebungen mit, beseitigt aber auch mehrereSicherheitslücken. Die neue Version 96.0.4664.45 sollten alle Nutzerinnen und Nutzer unter Windows, macOS und Linux deshalb möglichst umgehend einspielen. Die Stabilitätsverbesserungen Weil das Update ganz neu ist, hat Google  die offiziellen Versionshinweise noch nicht veröffentlicht. Beim Start von Version 96 am 15. November 2021 in den Betatest kündigte Google aber schon an, dass das Update vor allem Stabilitäts- und Performanceverbeserungen bringt, die der Konzern im Chromium Log auflistet. Neben jeder Menge an Bugfixes und technischen Verbesserungen kommen mit dem Update auch wieder einige Sicherheit-Patches. Diese beschreibt Google generell aber erst später, damit Chrome-Nutzer ihren Browser vorher rechtzeitig per Update absichern können. Aktualisieren auf Chrome 96 Weil Google darauf hingewiesen hat, dass die Verteilung des Updates mehrere Tage und Wochen in Anspruch nimmt, sollten Sie darüber nachdenken, das Chrome-Update manuell zu starten: Klicken Sie auf die drei Punkte oben rechts. Klicken Sie auf Hilfeund anschließend Über Google Chrome. Chrome sucht dann nach Updates. Wenn eines verfügbar ist, aktualisiert sich der Browser automatisch. Klicken Sie auf Neu starten.

2021-11-16T10:25:36+02:00November 16th, 2021|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Google Chrome 96: Update bringt viele Verbesserungen
Weiterlesen

Auch Google will IndexNow jetzt testen

Microsoft und Yandex haben mit IndexNow eine Initiative zur Entlastung von Suchmaschinen gestartet. Google steht dem Projekt mittlerweile wohl offen gegenüber, denn der Suchmaschinenriese will IndexNow jetzt auch testen. Zunächst hatten sich nur Microsoft und Yandex für diese Initiative zusammengetan, mit der Webmaster neue Inhalte einfacher an die Suchmaschinen melden können. Außerdem soll mit dem Protokoll die Indizierung der Inhalte beschleunigt werden, denn meist bilden die Crawler bei der zügigen Indizierung neuer Inhalte den Flaschenhals. Deshalb soll das neue Protokoll an dieser Stelle für Entlastung sorgen. Eine Lösung für WordPress ist in der Diskussion Ein weiterer geeigneter Partner für IndexNow könnte auch das meistgenutzte CMS der Welt WordPress sein. Mit diesem CMS arbeiten momentan knapp 43 Prozent aller Websites . Deshalb wäre es für das Projekt recht wichtig, dass auch das führende CMS bei IndexNow mit dabei ist. Für WordPress hat Microsoft schon eine Code-Lösung vorgeschlagen, aber einem der leitenden Entwickler bei WordPress scheint es ni8cht zu gefallen, dass der Code in den WordPress-Core integriert werden soll – er schlägt stattdessen eine Plugin-Lösung vor…

2021-11-12T10:20:16+02:00November 12th, 2021|CMS, Coding, Webwerkzeuge|Kommentare deaktiviert für Auch Google will IndexNow jetzt testen
Weiterlesen

JavaScript-Framework Angular 13 ohne IE 11 und View Engine

Vom JavaScript-Framework Angular wurde jetzt die Version 13 veröffentlicht. Das neue Release setzt unter dem Schlagwort "Ivy Everywhere" auf die in Ivy vereinte Pipeline für das Compilern und Rendern. Die View Engine ist aus dem Framework entfernt worden. Jetzt ohne Anbindung an den Internet Explorer 11 13 Auch die Anbindung an den Internet Explorer 11 hat Angular entfernt, um zeitgemäße Browserfunktionen wie CSS-Variablen und Webanimationen über native Web-APIs nutzen zu können, die der veraltete Browser von Microsoft nicht kennt. Damit entfallen auch die für IE 11 erforderlichen Polyfills, die man in vorhandenen Anwendungen mit dem Befehl ng update auch automatisch entfernen kann. Wer noch auf den alten Browser angewiesen ist, sollte bei Angular 12 bleiben, das offiziell noch bis November 2022 Support bekommt. Das Ende der View Engine Mit der im Mai veröffentlichte Version 12 wurde die View Engine schon als deprecated (überholt) gekennzeichnet, und im aktuellen Release 13 fehlt sie jetzt endgültig, womit der Umstieg auf Ivy, die Pipeline für Compiler und Rendering, abgeschlossen ist Durch den Wegfall der View Engine muss Angular nicht mehr so häufig auf den Angular Compatibiliy Compiler ngcc zugreifen. Dadurch soll das Kompilieren potenziell beschleunigt werden, weil die für ngcc erforderlichen Metadaten- und Summary-Dateien nicht mehr benötigt werden. Außerdem ermöglicht der Verzicht auf die View Engine [...]

2021-11-04T12:18:43+02:00November 4th, 2021|Coding, CSS, Javascript, Webwerkzeuge|Kommentare deaktiviert für JavaScript-Framework Angular 13 ohne IE 11 und View Engine
Weiterlesen

Statische Codeanalyse mit PHPStan 1.0

Ab sofort steht nach sechs Jahren Entwicklungszeit das Open-Source-Werkzeug für die statische Codeanalyse von PHP PHPStan in der ersten Major-Version 1.0 zum Download bereit. PHPStan-Entwickler Ondřej Mirtes hat mit den Arbeiten an dem Codeanalyse-Tool begonnen, um PHP-Entwicklern eine Möglichkeit zu geben, ihren Programmcode schon vor der ersten Ausführung auf eventuell vorhandene Fehler zu testen. Der Screenshot direkt auf der Startseite des Projektes https://phpstan.org/ zeigt sofort, wie das Tool arbeitet. Ein kleines Beispielprogramm mit einem Fehler in Zeile 5 kann direkt auf der Seite bearbeitet werden. Wenn man aus dem fehlerhaften Typhinweis „DateTimeImutable“ den korrekten „DateTime“ macht, prüft das Programm erneut, und der Fehler inklusive Folgefehler in Zeile 7 ist verschwunden: Verbesserungen und neue Funktionen Einen Überblick die Neuerungen in PHPStan 1.0 gibt der Ankündigungsblog von Ondřej Mirtes. Die komplette Liste aller Bugfixes und Verbesserungen finden Sie in den Release Notes auf GitHub. Aktuell braucht das Tool zum Ablauf PHP 7.x, wobei der zu testende Code auch andere Versionen haben darf. Für die künftige Weiterentwicklung des Tools zur statischen Codeanalyse stellt Mirtes besonders die Anpassung an die neueste PHP-Version 8.1 in Aussicht.

2021-11-02T23:25:43+02:00November 2nd, 2021|Coding, PHP, Webwerkzeuge|Kommentare deaktiviert für Statische Codeanalyse mit PHPStan 1.0
Weiterlesen

Blender wird von OpenGL auf Vulkan umgestellt

In Zukunft soll die freie 3D-Grafiksuite Blender  Vulkan statt OpenGL benutzen. Außerdem soll das kostenlose Programm auch kollaborativ werden und Echtzeit verstehen. Soeben hat die Community der freien 3D-Grafiksuite Blender eine Roadmap mit ihren Pläne für die Entwicklungsphase nach dem Erscheinen von Version 3.0 veröffentlicht. Zwar bitten die Entwickler noch um Feedback, und und nennen diese Roadmap auch noch ein "lebendiges Dokument", aber viele Hauptbeitragende sollen den Plänen schon zugestimmt haben, heißt es dort. Die wohl wichtigste geplante Neuerung dabei ist eindeutig die Abkehr von OpenG zugunsten von Vulkan. Die Entwicklungsziele nach Blender 3.0 Die Umstellung betrifft zunächst den sogenannten 3D Viewport, also den Teil des Programms, der für die Modellierung benutzt wird. Ein wichtiges Ziel für den Zweig 3.x soll es demnach sein, Blender komplett auf Vulkan zu portieren. Entsprechende Backends für den freien Industriestandart Vulkan und das von Apple genutzte Metal sind schon im Entstehen. Die Entwickler hoffen, dass die Arbeiten bis Ende 2022 soweit abgeschlossen sind, dass OpenGL dann ersetzt werden kann. Online- und Offline-Nutzung von Blender Zu den wichtigsten Prinzipien von Blender gehöre es auch, dass die freie 3D-Grafiksuite auch offline nutzbar sei. Das soll zwar auch so bleiben, aber optional sollen auch Funktionen implementiert werden, für die man eine Internetanbindung braucht. Dazu gibt dann [...]

2021-10-29T11:28:17+02:00Oktober 29th, 2021|Bildbearbeitung, Coding, Webwerkzeuge|Kommentare deaktiviert für Blender wird von OpenGL auf Vulkan umgestellt
Weiterlesen

Mit IndexNow melden Webmaster neuen Content an Suchmaschinen

Zur Entlastung der Suchroboter haben Microsofts und Yandex' eine neue Initiative gestartet. Webmaster sollen neue Inhalte auf ihren Seiten über eine Software-Schnittstelle namens IndexNow direkt an die Suchmaschinen melden. Mit dem Protokoll IndexNow wollen Microsoft und Yandex die Indizierung neuer Inhalte beschleunigen und dabei auch gleichzeitig ihre Crawler entlasten. Nicht nur für Suchende, sondern auch für die Betreiber von Webseiten ist es sehr wichtig, dass aktuelle Informationen auch so schnell wie möglich in den Suchergebnissen erscheinen. Nichts ist älter als die Zeitung von gestern Dabei sind die Crawler der Suchmaschinen häufig der Flaschenhals. Trotz der Hilfsmittel, die Website-Betreiber zur Verfügung stellen können (z.B. XML-Sitemaps) sind die Crawler nocht wirklich hocheffizient, denn es kann Tage bis Wochen oder noch länger dauern, bis aktuelle Inhalte endlich auch im Suchindex erscheinen. So manche Information ist nach so langer Zeit unter Umständen nicht mehr relevant. Genau diesen Flaschenhals soll IndexNow jetzt überbrücken: Das neue Protokoll bietet Website-Betreibern eine Software-Schnittstelle (API), über welche sie die an dem Projekt beteiligten Suchmaschinen über Änderungen am Inhalt einer Webseite direkt informieren können. Leider beteiligen sich aktuell zunächst nur Microsoft Bing und Yandex an IndexNow. Wie das Protokoll funktioniert Einrichtung und Nutzung von IndexNow sind recht einfach möglich. Dazu müssen nur die folgenden Schritte ausgeführt werden: Erstellen [...]

2021-10-21T17:35:17+02:00Oktober 21st, 2021|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Mit IndexNow melden Webmaster neuen Content an Suchmaschinen
Weiterlesen

Chrome95-Update beseitigt mehrere Sicherheitslücken

Kurz nach der Veröffentlichung einer neuen Hauptversion wurden schon Sicherheitsupdates nachgeliefert. Von mehreren der geschlossenen Sicherheitslücken ging ein hohes Risiko aus. Die Chrome-Entwickler haben am gestrigen Dienstag die Version 95 des Google-Browsers für Linux, Windows und macOS veröffentlicht. In ihrer Ankündigung wiesen Sie dabei auf mehrere Schwachstellen hin, die jetzt mit der Aktualisierung auf Chrome 95.0.4638.54 beseitigt wurden. Fünf der Schwachstellen sollen ein hohes Risiko aufweisen, und die übrigen wurden mit "Low" bis "Medium" eingestuft. Insgesamt bringt das Update laut Google 19 Security-Fixes mit. Es soll in den nächsten Tagen und Wochen an bestehende Browser-Installationen verteilt werden. Wie üblich nennt Google dabei kaum Details zu den Schwachstellen oder den Möglichkeiten, sie auszunutzen. Um zusätzliche Angriffe zu vermeiden, gibt es nähere Informationen erst, wenn die meisten Nutzer das Update schon erhalten haben. Was das Update sonst noch bringt Außer der verbesserten Sicherheit bringt die neue Chrome-Version auch einige funktionale Neuerungen, die Google in Kürze in Einträgen in den Chrome- und Chromium-Blogs zusammenfassen will. Unter anderem wurde mit Chrome 95 die Unterstützung des unsicheren und kaum noch genutzten File Transfer Protocol (FTP) endgültig eingestellt und der entsprechende Code aus dem Browser entfernt. Neuerungen, die Chrome 95 für Entwickler bringt, zeigt die Übersichtsseite "What's New In DevTools". Auch für mobile Geräte stehen Chrome 95-Varianten [...]

2021-10-21T07:35:23+02:00Oktober 20th, 2021|Browser, Coding, Sicherheit|Kommentare deaktiviert für Chrome95-Update beseitigt mehrere Sicherheitslücken
Weiterlesen

Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“

Das Plugin WP Fastest Cache verkürzt die Ladezeiten von Websites mit dem beliebten Content Management System (CMS) WordPress, bot aber Angriffsmöglichkeiten für Cross-Site-Scripting (XSS) und SQL Injection. Deshalb gibt es jetzt für die mehr als eine Million Nutzer des Cache-Plugins ein Update zum Download: WP Fastest Cache 0.9.5 entschärft die in allen früheren Versionen vorhandenen Sicherheitsprobleme. Wer das Plugin nutzt und noch nicht aktualisiert hat, sollte das jetzt möglichst bald nachholen. Die Entdecker der Sicherheitslücken stufen das Risiko als "hoch" bis "kritisch" ein. Die abgesicherte neue Version steht seit letzter Woche auf der Download-Site von WP Fastest Cache zum kostenlosen Download bereit. Zwei Wege zum unbefugten Zugriff In einem Blogeintrag der Firma Jetpack finden sich Details zu den beiden Schwachstellen, die interessanterweise ein und dieselbe CVE-ID (CVE-2021-24869), aber unterschiedliche Beschreibungen und CVSS-Scores (7.7/"High" bzw. 9.6/"Critical") haben. Der Score 7.7 bezieht sich auf eine SQL-Injection-Lücke, die aber nur unter bestimmten Voraussetzungen genutzt werden kann: Der Angreifer muss als "normaler" Nutzer angemeldet sein und in der angegriffenen WP-Installation muss gleichzeitig auch das Plugin "Classic Editor" installiert sein. Wenn diese Voraussetzungen vorliegen, ist das Abgreifen sensibler Daten wie etwa Nutzernamen in Kombination mit Passwort-Hashes möglich. Die zweite, mit 9.6 bewertete Angriffsmöglichkeit besteht auch ohne diese Einschränkungen, braucht dafür aber eine Nutzerinteraktion mit der Website: Im Rahmen eines sogenannten Cross-Site-Request-Forgery-Angriffs [...]

2021-10-19T07:08:12+02:00Oktober 19th, 2021|Coding, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“
Weiterlesen

Erweiterter Notfallpatch für Apache-Webserver

Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache. Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind. Lücke macht Remote Code Execution möglich Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen. Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus "require all denied" aktiviert, der vor solchen Angriffen schützen soll. In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als "unzureichend" bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an. Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben - eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen. Apache umgehend (noch einmal) patchen! Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend [...]

2021-10-08T10:56:30+02:00Oktober 8th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Erweiterter Notfallpatch für Apache-Webserver
Weiterlesen
Nach oben