Patch gegen Angriffe auf Webserver Apache

Aktuell nutzen Angreifer eine kritische Lücke in Webservern auf Basis von Apache  aus. Sicherheitsupdates dagegen sind schon länger verfügbar. Wer als Admin für einen Apache-Webserver verantwortlich ist, sollte jetzt sein System auf den aktuellsten Stand bringen, denn Sicherheitsforscher beobachten aktuell Angriffe auf verwundbare Apache-Installationen. Die dabei ausgenutzte Sicherheitslücke (CVE-2021-40438) gilt als „kritisch“. Durch das einfache Versenden von präparierten HTTP-Anfragen könnten entfernte Angreifer ohne jede Authentifizierung laut einer Warnmeldung von Apache an der Schwachstelle in dem Modul mod_proxy ansetzen und dann Anfragen an beliebige Server weiterleiten (Server-Side Request Forgery SSRF). Betroffene Webserver dringend aktualisieren Die Schwachstelle soll in Apache Webservern von Version 2.4.17 bis einschließlich 2.4.48 stecken. Versionen ab 2.4.49 sollen gegen diese Attacken abgesichert sein. Die abgesicherte Ausgabe ist schon seit Mitte September 2021 verfügbar. Die aktuellen Angriffe haben unter anderem Sicherheitsforscher von Rapid7 beobachtet. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Ende November 2021 für dieses Sicherheitsproblem die IT-Bedrohungslage 2/Gelb verhängt. Laut Rapid7 gibt es zurzeit noch keine Hinweise auf weitverbreitete Angriffe. Weil weltweit aber sehr viele Webserver auf Apache-Basis laufen, liegt es nahe, dass das Volumen von Attacken noch zunehmen wird. Die Sicherheitsforscher geben dazu an, immerhin mehr als 4 Millionen potenziell angreifbare Server im Netz gefunden zu haben…

2021-12-03T14:09:53+02:00Dezember 3rd, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Patch gegen Angriffe auf Webserver Apache
Weiterlesen

Erweiterter Notfallpatch für Apache-Webserver

Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache. Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind. Lücke macht Remote Code Execution möglich Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen. Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus "require all denied" aktiviert, der vor solchen Angriffen schützen soll. In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als "unzureichend" bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an. Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben - eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen. Apache umgehend (noch einmal) patchen! Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend [...]

2021-10-08T10:56:30+02:00Oktober 8th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Erweiterter Notfallpatch für Apache-Webserver
Weiterlesen

NetBeans 12.4 kann Java 16 und PHP 8

Die Apache Software Foundation hat Version 12.4 der Entwicklungsumgebung NetBeans veröffentlicht. Dieses Update bringt einige Neuerungen für die Programmiersprache Java und für das Web-Frontend mit sich. NetBeans 12.4 aktualisiert auf Java 16 (inklusive nb-javac), die Gradle-Toolings gehen auf Version 7 und Jakarta EE 9 wird unterstützt. Entwicklung mit dem JVM-Framework Micronaut Die Entwickler können mit NetBeans 12.4 jetzt auch Anwendungen in Micronaut erstellen, einem Framework für die Java Virtual Machine (JVM). Dieses JVM-Framework eignet sich zum Entwickeln modularer und einfach testbarer Webanwendungen in den Sprachen Java, Kotlin und Groovy. Zum Erstellen eines neuen Projektes beginnen die Entwickler über die Einträge Java with Maven und Micronaut Project mit dem Schreiben ihrer Anwendung. Dort finden sich außer einem Assistenten für neue Micronaut-Projekte auch Implementierungen für die Code-Vervollständigung, einen HyperlinkProvider und auch das WhereUsed Refactoring-Plug-in fürdie  yaml-Konfigurationsdateien von Micronaut. PHP 8 wird jetzt unterstützt Schon im November 2020 gab es die achte Major Version der Programmiersprache PHP. Ab sofort unterstützt NetBeans 12.4 die mit PHP 8 eingeführten Named Arguments. Für die neue Version hat das Entwicklerteam hinter der IDE auch die Code Completion für Webformulare überarbeitet. Weitergehende Informationen zu NetBeans 12.4 finden Sie in einem Artikel auf dem offiziellen Apache-NetBeans-Blog.

2021-06-03T12:19:16+02:00Juni 2nd, 2021|Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für NetBeans 12.4 kann Java 16 und PHP 8
Weiterlesen

Die IDE NetBeans 9.0 ist verfügbar

Es brauchte drei Jahre Organisation und Entwicklung unter dem Dach der Apache Software Foundation, bis nun endlich mit NetBeans 9.0 ein erstes Release der Integrierten Entwicklungsumgebung (Integrated Development Environment – IDE) für Java-Entwickler erschienen ist. Die Unterstützung der Modularisierung hat viel Zeit gekostet Dass es drei Jahre für die Entwicklung von NetBeans 9 gebraucht hat, liegt auch an der mit Java 9 eingeführte Modularisierung dieser Sprache. Die Entwickler der IDE wollten natürlich dieses essenzielle Feature ebenfalls unterstützen. JavaScript, PHP, Groovy, Enterprise Java und C/C++ kommen nach Bisher war NetBeans nicht nur eine IDE für Java-SE-Entwickler, wie neue Hauptversion vielleicht nahelegt, sondern auch andere Programmierplattformen wie JavaScript, PHP sowie C/C++ und Java EE (bzw. Jakarta EE) wurden in den Vorversionen unterstützt. Ich selbst benutze die IDE schon seit Jahren für die Web-Programmierung mit PHP – für mich war es bisher das beste Werkzeug ever für diese Zwecke. Leider wurde die Unterstützung für diese Sprachen im Zuge der Entwicklungen von NetBeans 9 und des Transfers der wegen seiner rund 20 Jahre alten Geschichte riesigen Codebasis erst mal hintenan gestellt. Bei der neuen Hauptversion lag der Fokus also auf der Java-SE-Basis, und in diese Richtung ging auch die erste Codeübergabe durch Oracle. Inzwischen sind aber nach einem aktuellen Blogbeitrag die Module zur Unterstützung [...]

2018-07-30T19:27:35+02:00Juli 30th, 2018|Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Die IDE NetBeans 9.0 ist verfügbar
Weiterlesen

Zend Server beherrscht jetzt PHP 7

Nach der Übernahme von Zend im Oktober 2015 hat Rogue Wave jetzt das erste große Zend Server Release bekannt gegeben. Die Version 9 des Applikationsservers kann mit dem im Dezember 2015 veröffentlichten PHP 7 umgehen, was die Anwendungen merklich schneller machen soll. Weitere Neuerungen sind Möglichkeiten zum Code Tracing und Black Box Recording, die bei der Entwicklung und im Betrieb helfen können, Fehlerquellen schneller zu finden. Mit diesem Update stellt Rogue Wave außerdem Zend Server Professional Plus und Zend Server Enterprise Edition vor. Abonnenten dieser beiden Dienste können sich nicht nur bei Fragen zu Zend Server selbst an den Support des Unternehmens wenden, sondern sie haben auch Zugriff auf Experten zu weiteren Themen wie beispielsweise CentOS, Apache, MySQL und PHP. Damit will Rogue Wave Hilfe beim Umgang mit dem Open-Source-Stack unter auf Zend Server gehosteten PHP-Anwendungen bieten.

2016-05-13T15:15:14+02:00Mai 13th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Zend Server beherrscht jetzt PHP 7
Weiterlesen

Extrem schnelle NoSQL-Datenbank ScyllaDB

Wer als Webentwickler bei schnellen Antwortzeiten mit großen Datenbanken umgehen muss, sollte mal einen Blick auf die neue NoSQL-Datenbank ScyllaDB werfen. Im Rahmen des Cassandra-Summit stellten die Entwickler mit Scylla ihre "schnellste spaltenorientierte NoSQL-Datenbank der Welt" vor. Die unter der GNU Affero General Public License v3 geschützte Open-Source-Datenbank soll den Durchsatz stark verbessern und dabei mit sehr niedrigen Latenzen wie Redis aufwarten. Weil ScyllaDB kompatibel zu Apache Cassandra ist, soll ein Wechsel zwischen den beiden Systemen außerdem recht einfach durchzuführen sein. Aktuell hat das Projekt den Status einer frühen Beta, das erste stabile Release ist für Januar 2016 avisiert. Hinter ScyllaDB verbirgt sich ein Team, das schon für die Entwicklung des KVM Hypervisor verantwortlich zeichnete. Die NoSQL-Datenbank ist Ergebnis seiner Arbeiten als Cloudius Systems, allerdings hat sich das Unternehmen mittlerweile in ScyllaDB umbenannt. Apache Cassandra diente als Vorlage und ScyllaDB soll auch eine schnellere Alternative dafür positioniert. Cassandra ist in Java verfasst und wird als eine Art Hybrid zwischen spaltenorientierter Datenbank und Key-Value-Speicher angesehen.

2015-09-24T11:39:31+02:00September 24th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Extrem schnelle NoSQL-Datenbank ScyllaDB
Weiterlesen

Apache Big Data Project stellt HBase 1.0 vor

Wer Aufgaben im Big Data-Bereich erledigen muss, sollte sich die nach sieben Jahren Entwicklungsarbeit jetzt vorgestellte Hadoop-Datenbank HBase 1.0 der Apache Software Foundation ansehen. Es handelt sich um eine verteilte NoSQL-Datenbank nach dem Prinzip von Googles BigTable-Technik, die vorrangig im Kontext von Hadoop- und HDFS-Anwendungen (Hadoop File System) zum Einsatz kommt - deshalbn auch als die Datenbank schlechthin für das Big-Data-Framework bezeichnet wird. Sie kann mit verteilt liegenden Tabellen von Milliarden von Datensätzen uns Millionen von Spalten in Echtzeit sehr performant umgehen. Unternehmen wie Facebook, eBay, Salesforce und Yahoo, die ja sehr große Datenmengen verarbeiten müssen, setzen auf HBase – vielleicht auch für Ihr Projekt?

2015-02-25T10:20:44+02:00Februar 25th, 2015|Allgemein, MySQL|Kommentare deaktiviert für Apache Big Data Project stellt HBase 1.0 vor
Weiterlesen

Verräterische Statusseiten beim Webserver Apache

Eine Untersuchung von Securi deckte auf, dass viele Internetserver ihre Statusseiten öffentlich anzeigen. Dabei können natürlich die IP-Adressen oder sogar Passwörter der Besucher verraten werden. Bei Bezahldienstleistern erscheinen auf den Seiten unter Umständen Sitzungstoken, über die man die gesamte Sitzung entführen und echte Schäden anrichten kann. Eine Liste der vom Automatiktest von Securi gefundenen Server mit offenen Statusseiten wurde unter Urlfind.org ins Internet gestellt. Ursache dafür ist eine fehlerhafte Konfiguration des Apache-Tools  mod_status. Wie man das korrekt konfiguriert, findet sich in der Apache-Dokumentation.

2012-11-03T10:07:35+02:00November 3rd, 2012|Allgemein|Kommentare deaktiviert für Verräterische Statusseiten beim Webserver Apache
Weiterlesen

Es muss nicht immer index.html sein

Der Aufruf einer Internetadresse über den Domainnamen ohne Angabe einer aufzurufenden Datei wie zum Beispiel http://www.webwork-magazin.net/ führt meist auf die Datei index.html. Wenn man Zugriff auf den Apache-Webserver hat, kann man die Startseite eines virtuellen Hosts beliebig festlegen. Ohne Administrator-Zugriff auf den Webserver geht das aber auch, und zwar über eine .htaccess-Datei im Hauptverzeichnis der Präsenz. Im Grunde reicht folgende Zeile: DirectoryIndex hallo.html Es ist auch möglich, mehrere Dateinamen anzugeben, die der Reihe nach als Startdatei versucht werden. Das geht dann zum Beispiel so: DirectoryIndex hallo.php hallo.html hallo.htm

2011-01-10T09:29:48+02:00Januar 10th, 2011|Allgemein|Kommentare deaktiviert für Es muss nicht immer index.html sein
Weiterlesen
Nach oben