Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren. Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet. Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten. Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen. Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4. Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

2016-02-25T17:04:25+02:00Februar 25th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für CMS Drupal
Weiterlesen

Phishing-Emails für WordPress-Administratoren

Von der Sicherheitsfirma Sukuri  kommt eine aktuelle Warnung vor Phishing-Mails an WordPress-Administratoren, die diese verleiten sollen, ein Plugin zu installieren, dass an die Besucher dieser WordPress-Seiten Schadsoftware verteilt. Vorgeblich bietet die E-Mail die Pro-Version des beliebten Plugins All in One SEO Pack kostenlos an. Wer aber auf den Download-Link in dieser Email klickt, landet nicht etwa auf der offiziellen WordPress-Plugin-Seite, sondern auf einer offensichtlich von den Spammern infizierten Domain in Australien (.com.au) oder Brasilien (.com.br). Spätestens an dieser Stelle sollten die Admins eigentlich stutzig werden. Nach Sucuri haben einige Admins dieses bösartige Plugin tatsächlich installiert, was dann dazu führte, dass der Schadcode eine Backdoor auf dem Server öffnete und die Startdatei index.php  des infizierten Blogs austauschte. Von dem Moment an verteilten die betroffenen WordPress-Installationen Schadsoftware an ihre Besucher. Wegen der enorm großen Verbreitung als CMS oder Blogsoftware ist insbesondere WordPress immer wieder ein beliebtes Ziel für Hacker, die probieren, die Seiten anderer als Spamschleudern oder für DDoS-Angriffe zu missbrauchen. Bleiben Sie bitte vorsichtig!

2018-01-27T21:20:23+02:00Dezember 5th, 2013|Allgemein, CMS, PHP|Kommentare deaktiviert für Phishing-Emails für WordPress-Administratoren
Weiterlesen

Knecht Rootrecht kam am Heiligen Abend

Knecht Rootrecht ist ein bootfähiges Linux-System von grml.org auf der Grundlage von Debian. Es ist besonders für den Bedarf von Administratoren ausgelegt und kann seit dem 24.12. 2011 downgeloadet werden. Am nützlichsten ist die Knecht Rootrecht-Edition, wenn zum Beispiel nach einem Crash gar nichts mehr geht. Die "Knecht Rootrecht"-Version 2011.12 ersetzt die "grml full"-Version, ist dabei allerdings noch kompakter. Die beiden kleineren Varianten "small" und "medium" werden nicht mehr angeboten. Insgesamt werden 350 MB Daten verteilt, die sich zu mehr als einem GByte entpacken können. Die Spezialversion "grml96" läuft sowohl auf 32-Bit- als auch auf 64-Bit-Systemen und passt ebenfalls auf eine einzige CD mit 700 MB Kapazität.

2011-12-27T08:11:50+02:00Dezember 27th, 2011|Allgemein|Kommentare deaktiviert für Knecht Rootrecht kam am Heiligen Abend
Weiterlesen
Nach oben