PHP-Updates schützen vor Einschleusen von Schadcode

Gleich zwei Fehler in PHP-Modulen zur Anbindung von SQL-Datenbanken gestatten die Ausführung beliebigen Fremd-Codes. Deshalb sollten Admins von Shared-Hosting-Servern PHP zügig updaten. IT-Sicherheitsforscher Charles Fol fand gleich zwei Fehler in PHP-Datenbankmodulen, die er zur erfolgreichen Ausführung eigenen Codes benutzen konnte. Diese Schwachstellen stecken in allen PHP-Versionen der aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6. Bug #1: postgreSQL Die erste der Lücken (CVE-2022-31625) steckt in der Anbindung an postgreSQL-Datenbanken. Durch ein falsch initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination von bestimmten Datentypen den Heap korrumpieren und dann eigenen (Schad-)Code auf dem Zielsystem ausführen. Um diese Sicherheitslücke auszunutzen, müssten sie aber zusätzlich auch die Möglichkeit haben, eigenen PHP-Code auf dem Zielsystem auszuführen. Bug #2: MySQL Die zweite Sicherheitslücke steckt in der PHP-Anbindung an MySQL und bekam die CVE-ID CVE-2022-31626. Hier nutzte Fol einen Pufferüberlauf in der PHP-eigenen Implementation des MySQL-Protokolls aus, um den eingeschleusten Code dann auszuführen. Nötige Randbedingungen Aber auch hier ist eine Randbedingung zu erfüllen, um den Schadcode injizieren zu können: Der Zielserver muss dazu eine Verbindung zu einem speziell präparierten MySQL-Server aufbauen können, die außerdem noch ein besonders langes Passwort von über 4000 Zeichen benutzt. Der Sicherheitsdienstleister Tenable ordnete beiden Fehlern einen CVSS-Score von 9.8 (kritisch) zu und geht [...]

2022-06-11T11:16:12+02:00Juni 11th, 2022|Coding, MySQL, PHP, Sicherheit|Kommentare deaktiviert für PHP-Updates schützen vor Einschleusen von Schadcode
Weiterlesen

Rails 6.1 für Ruby-Entwickler

Version 6.1 des Webframeworks für Ruby-Entwickler Mit Rails 6.1 wurde gerade ein neues Release des für Ruby-Entwickler wichtigsten Webframeworks Ruby veröffentlicht. Ruby 6.1 folgt auf Rails 6.0, das im August 2019 nach gut zwei Jahren Entwicklung erschien. Die neue Version führt horizontales Sharding und Strict Loading ein und bringt auch Verbesserungen beim Wechsel von Datenbanken. Im Grunde konzentrieren sich die Neuerungen diemal auf Features, die die Entwickler brauchen, um ihre Anwendung über Jahre hinweg funktionell halten zu können. Neu: Delegated Types, Loading und Datenbanken So lassen sich jetzt auch Verbindungen zu einzelnen Datenbank umschalten. Wenn man in Version 6.1 den Handler legacy_connection_handling in der Konfiguration auf false setzt, kann man damit nun auch die Verbindung für eine einzelne Datenbank wechseln, was man dann über den Aufruf von connected_to auf der entsprechenden abstrakten Klasse macht. Außerdem konnte Rails das horizontale Shading bisher nicht unterstützen, weil den Modellen in der Active-Record-Implementierung nur eine einzige Verbindung pro Rolle pro Klasse gestattet war. Jetzt ist das horizontale Shading mit Rails 6.1 möglich. Auch der strict_loading-Mode, mit dem man optional ein Lazy Loading vermeiden kann, wird jetzt unterstützt. Damit können die Entwickler sicherstellen, dass ein Eager Loading für ihre Associations funktioniert und N+1-Ausfallwahrscheinlichkeiten nur gering bleiben. Auch die Unterstützung für Association-Deklarationen und die Möglichkeit, ein Strict Loading standardmäßig zu [...]

2020-12-10T18:15:01+02:00Dezember 10th, 2020|Coding, Webwerkzeuge|Kommentare deaktiviert für Rails 6.1 für Ruby-Entwickler
Weiterlesen

Microsofts SQL Server 2016 ist verfügbar

Microsoft hat seine Datenbanklösung SQL Server 2016 wie angekündigt allgemein verfügbar gemacht. Mehr als ein Jahr lang war sie schon als öffentliche Vorschauversion nutzbar gewesen. Die elfte Auflage der Microsoft-Datenbank bringt das wohl umfassendste Update in der Geschichte dieser Software. In SQL-Server 2016 gibt es unter anderem neue Funktionen im Bereich relationaler Datenspeicherung, Business Intelligence und Information Management. Erstmals wurden auch komplexere Analytics-Funktionen direkt in die Datenbank integriert. Auf diese Weise gleicht Microsoft auch den Funktionsumfang wieder an den des Cloud-Ablegers Azure SQL Database an. Mit Stretch Database besteht jetzt sogar die Möglichkeit, lokale SQL-Server-Datenbanken mit solchen in Azure zu einer Hybridlösung zusammenzuführen. Weitere Details zu Microsofts SQL Server 2016 finden Sie auch bei ZDNet.

2016-06-02T09:45:23+02:00Juni 2nd, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Microsofts SQL Server 2016 ist verfügbar
Weiterlesen

PostgreSQL 9.4 macht JSON schneller

Die Entwickler von PostgreSQL haben die Version 9.4 des quelloffenen, objektrelationalen Datenbankmanagement-Systems veröffentlicht. In dem neuen Release lag der Schwerpunkt unter anderem auf der Verbesserung der JSON-Funktionen (JavaScript Object Notation). Ein neuer Datentyp namens JSONB (steht für "binary JSON") soll die Verarbeitung des im Internet verbreiteten Datenaustauschformats beschleunigen. Er macht die Auswahl zwischen relationaler und nichtrelationaler Datenbank unnötig, denn mit JSONB bekommt man beides gleichzeitig Durch die Einführung sogenannter Generalized Inverted Indices (GIN), versprechen sich die Entwickler von JSONB eine schnellere Suche mit einfacherer Syntax. Andere Funktionen in diesem Bereich ermöglichen es dem Benutzer, in JSON-Daten zu suchen und sie zu manipulieren, und zwar in einer von dokumentenorientierten Datenbanken gewohnten Geschwindigkeit. Darüber hinaus lassen sich mit JSONB strukturierte und unstrukturierte Daten einfach miteinander kombinieren. Weitergehende Informationen dazu finden Sie auch bei Heise.

2014-12-19T20:48:34+02:00Dezember 19th, 2014|MySQL, PHP|Kommentare deaktiviert für PostgreSQL 9.4 macht JSON schneller
Weiterlesen

Google schaut immer mehr auf die Ladezeiten

Schon im April letzten Jahres kündigte Google an, dass die Leistung einer Website immer stärker in das Ranking eingehen wird. Zu Beginn hatte das nur einen kleinen Einfluß. Google selbst gab an, dass nur ca. 1% der Suchanfrage dadurch eine andere Ergebnisreihenfolge bekommen. Inzwischen sind neun Monate vergangen, und der Einfluss der Leistung einer Website bezüglich der Platzierung in den Suchergebnissen wird immer größer. Das spiegelt ja auch das Verhalten der Surfer wieder. Vor einem Jahr war eine Aufbauzeit von sechs bis zehn Sekunden noch sehr akzeptabel, aber heute klicken viele Surfer schon wieder weg, wenn die Internetseite nicht nach spätestens zwei Sekunden aufgebaut ist. Kontrollieren kann man die Ladezeiten als Entwickler gut mit den Webmaster-Tools von Google. Die Site Performance-Option gibt einen guten Überblick über die Zeit bis zum vollständigen Laden der Seite in "seconds to lead". Nur Ladezeiten unter 1,5 Sekunden werden aktuell mit "gut" bewertet. Es gibt viele Ansätze, die Ladezeit einer Seite zu verkürzen. Im Wesentlichen muss man versuchen, die Anfragen an den Server zu reduzieren, die ja für jedes Bild, jedes Flash, Stylesheet und Javascript usw. gestellt und beantwortet werden müssen, bevor die Seite komplett gerendert werden kann. Da hilft schon die Zusammenfassung vieler Stylesheet-Dateien in einer einzigen, das nützt natürlich [...]

2011-01-27T11:06:29+02:00Januar 27th, 2011|Allgemein|Kommentare deaktiviert für Google schaut immer mehr auf die Ladezeiten
Weiterlesen
Nach oben