Patches

/Tag:Patches

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit [...]

By | 2018-06-05T18:55:40+00:00 Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren. Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste. Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als "deprecated" abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen. PHP-Programmierer müssen aber nicht nur auf Altes verzichten - sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit [...]

By | 2017-06-18T14:02:19+00:00 Juni 18th, 2017|Allgemein, PHP|Kommentare deaktiviert für Vorbereiten auf PHP 7

Neue Anzeige für HTTPS-Seiten mit Chrome 46

Google hat die Browserversion Chrome 46 veröffentlicht. Das Update auf Version 46.0.2490.71 vom 13. Oktober enthält Patches für 24 Sicherheitslücken – vier davon sogar von hoher Priorität. Als offensichtlichste Änderung hat die Suchmaschine aber die Anzeige des Sicherheitslevels von Webseiten überarbeitet. Bei verschlüsselten HTTPS -Seiten mit kleineren Fehlern erschien bisher über dem Schlosssymbol zusätzlich das bekannte gelbe Warndreieck. Diese Warnung soll laut Google die Nutzer verwirrt und letztlich sogar dazu geführt haben, dass viele Surfer fälschlicherweise dachten, fehlerhaft verschlüsselte Seiten seien unsicherer als Seiten, die HTTPS überhaupt nicht unterstützten (Anm. d. Autors: Das ist auch mein Feedback von vielen Surfern). Also hat Google das gelbe Warndreieck jetzt ersatzlos gestrichen. Sichere Webseiten bekommen wie bisher ein grünes Schloss, Webseiten mit abgelaufenem Sicherheitszertifikat oder groben Fehlern in HTTPS bekommen wie immer ein rotes X.

By | 2015-10-16T22:13:40+00:00 Oktober 16th, 2015|Allgemein, HTML|Kommentare deaktiviert für Neue Anzeige für HTTPS-Seiten mit Chrome 46

PHP 5.6.12 schließt Sicherheitslücken

PHP ist noch immer die beliebteste Programmiersprache im Internet. Mit der soeben veröffentlichten Version PHP 5.6.12 schließen die Entwickler insgesamt zwölf Schwachstellen, darunter sogar einen Stack-Überlauf in der GD-Bibliothek. Auch die anderen Release-Zweige wurden abgesichert, dort sind jetzt die aktuellen Versionsnummern 5.4.44, 5.5.28 und 7.0.0 Beta 3. Eindringlich weisen die Entwickler auch darauf hin, dass der Support für den 5.5er-Zweig schon am 10. Juli ausgelaufen ist. Seither erhält Version 5.5.28 nur noch Sicherheits-Patches und Probleme, die nicht sicherheitsrelevant sind, wurden deshalb auch nicht mehr geschlossen.

By | 2015-08-07T17:48:57+00:00 August 7th, 2015|PHP|Kommentare deaktiviert für PHP 5.6.12 schließt Sicherheitslücken

Linux 4.0 patcht sich selbst im laufenden Betrieb

Die soeben von Linus Torvalds freigegebene Revision 4.0 des Linux-Kernels unterstützt eine herausragende, interessante Funktion: das „Kernel Live Patching“ (KLP), das die Beseitigung von Sicherheitslücken im laufenden Betrieb erlaubt. Die Distributionen von Red Hat und Suse unterstützten eine ähnliche Funktionalität schon als Kpatch bzw. Kgraft und waren damit quasi die Vorbilder für KLP. Dazu schreibt Entwickler Jiri Kosina im Kommentar zum Merge-Commit , daß es bisher ein API für die gepatchten Kernel-Module und ein Userspace-API/ABI gibt, um Patches anzuwenden bzw.  zu deaktivieren. Red Hat und Suse müssen ihre Userspace-Tools noch für den neuen Kernel anpassen, aber einfache Sicherheitspatches sollen sich bereits integrieren lassen. Weiterführende Informationen zum neuen Linux-Kernel finden Sie bei Golem.

By | 2015-04-13T21:46:51+00:00 April 13th, 2015|Allgemein|Kommentare deaktiviert für Linux 4.0 patcht sich selbst im laufenden Betrieb

Es gibt wieder neue PHP-Sicherheitsupdates

Die beliebte Web-Programmiersprache PHP brauchte  schon wieder dringende Updates für die Sicherheit: Zum zweiten Mal innerhalb drei Wochen veröffentlichten die Entwickler sicherheitsrelevante Patches für die diversen PHP Versionen. Mit dem Update PHP 5.6.2 haben die Entwickler vier Lücken geschlossen, darunter auch einen Integer Overflow in der unserialize()-Funktion, der vor rund einem Monat über das Bugtracking-System des Projekts gemeldet wurde. Er betrifft nur die 32-bit-Versionen von PHP. Drei weitere Lücken klafften auch in den 64-bit-Builds. Sie steckten in den Modulen cURL, EXIF und XMLRPC. Für die Versionszweige 5.5 und 5.4 wurden ebenfalls Updates bereitgestellt, die Nummern der abgesicherten Versionen sind 5.5.18 und 5.4.34.

By | 2014-10-20T18:41:56+00:00 Oktober 20th, 2014|PHP|Kommentare deaktiviert für Es gibt wieder neue PHP-Sicherheitsupdates

Mozilla Firefox startet Java-Updates nur auf Nachfrage

Sogar das allerneueste Java-Plugin Java 7 Update 15 blockiert der Firefox-Browser, weil er auf den Click-to-Play-Modus umgeschaltet wurde. So wird die Ausführung von Javascript zwar nicht komplett geblockt, aber mit einer deutlichen Hürde versehen.  Jetzt zahlt es sich gerade bei kommerziellen Internetseiten wie Onlineshops aus, wenn der Ersteller der Seiten so gearbeitet hat, dass die Funktionen auch ohne Javascript mit reinem HTML laufen. Die Firmen Oracle, Adobe und Microsoft sehen in diesem Monat nicht besonders gut aus mit ihren vielen Updates. Es hat wohl auch noch nie einen Monat mit mehr Patches, aber auch keinen mit mehr Angriffen auf sie Internetseiten großer Unternehmen über Sicherheitslücken in Java, Flash oder PDF gegeben.

By | 2013-02-28T20:31:43+00:00 Februar 28th, 2013|HTML, Javascript|Kommentare deaktiviert für Mozilla Firefox startet Java-Updates nur auf Nachfrage