Sicherheitsupdates

/Tag:Sicherheitsupdates

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit [...]

By | 2018-06-05T18:55:40+00:00 Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

By | 2018-03-23T21:17:26+00:00 März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Samba-Lücke auf Linux-Servern

Nicht etwa in der Client-Software, sondern in der Datei- und Druckserver-Software Samba auf den Linux-Servern erzeugte eine Änderung an der Version 3.5.0 schon vor 7 Jahren! eine Sicherheitslücke (CVE-2017-7494) auf, die es wirklich in sich hat. Durch diese Lücke können Angreifer aus der Ferne beliebigen Programmcode auf dem Linux-Server ausführen. Unter Ausnutzung der Lücke könnte man sogar einen Wurm wie  WannaCry, der in den letzten zwei Wochen mehr als 200.000 Rechner lahmgelegt hat, programmieren, der sich dann anstatt von Windows-PC zu Windows-PC von Linux-Rechner zu Linux-Rechner  weiterverbreiten könnte. Ein passender Exploit zu diesem Zweck ist schon im Umlauf. Die meistverbreiteten Linux-Distributionen von Debian, Red Hat, Suse und Ubuntu  haben inzwischen schon Sicherheitsupdates für Samba bereitgestellt, die diese Lücke dicht machen. Admins sollten die Updates auch umgehend installieren. Die Sicherheitslücke steckt nicht nur in den Versionen des alten Samba-Zweigs 3.x, sondern auch in der neueren Hauptversion Samba 4.

By | 2017-05-26T08:20:49+00:00 Mai 26th, 2017|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Samba-Lücke auf Linux-Servern

Sicherheitsupdates für Ruby on Rails

Das Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle: content_tag(:div, "hi", title: user_input.html_safe) Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft. Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer [...]

By | 2016-08-12T11:22:09+00:00 August 12th, 2016|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Ruby on Rails

Sicherheitsupdates für aktive PHP-Versionen

Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar. Angreifer können diese Installationen aus der Ferne attackieren, Speicherfehler auslösen und dann eigenen Code auf diese Systeme übertragen und ausführen. Diese zwei Schwachstellen wurden in den jetzt zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die dazugehörigen Windows-Binaries finden Sie auf dieser Webseite. Sicherheitslücken und Exploits Die Sicherheitslücke CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Nutzen die Angreifer diese Schwachstelle aus, dann können sie über ein dafür präpariertes Zip-Archiv einen Speicherfehler hervorrufen und dann eigenen Code auf dem Rechner ausführen. Die zweite Schwachstelle mit der Kennung CVE-2016-3074 steckt in der Bild-Bibliothek libgd 2.1.1, die seit PHP 4.3 bei der Default-Installation standardmäßig auf den Rechner kommt. Um über diese Schwachstelle einen Speicherfehler auszulösen, müssen die Angreifer dem Opfer komprimierte gd2-Daten unterjubeln. Danach können sie das System entweder crashen oder darauf sogar Schadcode ausführen. Das Ende von PHP 5.5 Achtung: Bei dieser Gelegenheit möchte ich darauf hinweisen, daß der Support [...]

By | 2016-05-04T10:08:46+00:00 Mai 4th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdates für aktive PHP-Versionen

Supportende für Internet Explorer 8-10

Ab nächsten Dienstag bringt Microsoft für seine Altlasten-Browser Internet Explorer 8, 9 und 10 keine Sicherheitsupdates mehr heraus. Das hatte der Konzern aus Redmond schon im Jahr 2014 angekündigt und die Benutzer zum Update aufgefordert. Aus diesem Grund wird es für die Benutzer Zeit, sich jetzt um Alternativen zu kümmern. Um festzustellen, welche Version man auf seinem Rechner installiert hat, startet man den Browser, klickt dann auf das Zahnrad-Symbol in der Ecke des Explorer-Fensters und den Menüpunkt „Über Internet Explorer“ aus. In ganz alten Versionen muss man stattdessen den Untermenüpunkt „Info“ über den Menüpunkt „Hilfe“ anwählen. Den Upgrade auf eine aktuelle Version des Microsoft-Browsers kann man anstoßen, indem man auf die Systemsteuerung klickt und dort im Bereich „Windows Update“ die Schaltfläche „Nach Updates suchen“ anklickt.

By | 2016-01-07T09:25:04+00:00 Januar 7th, 2016|Allgemein|Kommentare deaktiviert für Supportende für Internet Explorer 8-10

Sicherheitsupdates für Adobes ColdFusion

Wer als Seitenbauer ColdFusion von Adobe benutzt, sollte dringend die neuesten Sicherheitsupdates einspielen, denn die Seitenbaukästen ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind auf allen verfügbaren Plattformen verwundbar. Potentielle Angreifer können sogar zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für ihre XSS-Attacken benutzen. Update 7 und Update 18 stehen jetzt zum Download bei Adobe bereit. Adobe empfiehlt Benutzern seiner Software, diese dafür bereitgestellten Sicherheitsupdates bald einzuspielen. Eine akute Bedrohung soll aber derzeit noch nicht gegeben sein. Eine andere Sicherheitslücke (CVE-2015-5255) gibt es auch in BlazeDS. Sie wird durch diese Updates ebenfalls geschlossen. Darüber hinaus legt Adobe seinen Kunden ans Herz, die Sicherheitshinweise für ColdFusion zu befolgen.

By | 2015-11-18T12:17:04+00:00 November 18th, 2015|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Adobes ColdFusion

Sicherheitsupdates für libpng

Schlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar. Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu soll vergleichsweise einfach zu nutzen sein. Über gezielte Angriffe ist derzeit aber noch nichts bekannt.

By | 2015-11-17T12:59:31+00:00 November 17th, 2015|Allgemein, Bildbearbeitung|Kommentare deaktiviert für Sicherheitsupdates für libpng

Google supportet Chrome unter XP noch bis Jahresende

Nachdem Berliner Datenschützer verlangt haben, nach dem Supportende 10.000 PCs in der Verwaltung der Hauptstadt abzuschalten, weil sie noch unter dem nicht mehr von Microsoft unterstützten Betriebssystem Windows XP laufen, machen sich auch private XP-Nutzer verstärkt Gedanken zum Wechsel. Jetzt springt Google den verunsicherten XP-Nutzern noch einmal bei. “Wir wissen, dass nicht jeder leicht auf ein neueres Betriebssystem wechseln kann”, äußert Mark Larson, als Director of Engineering bei Google für Chrome verantwortlich, in einem Blogeintrag. “Millionen Menschen arbeiten noch immer täglich mit XP-Rechnern. Wir wollen, dass diese Menschen die Option haben, einen Browser zu benutzen, der so aktuell und sicher wie auf einem nicht mehr unterstützten Betriebssystem möglich ist.” Deshalb will Google seinen Browser unter Windows XP noch bis Ende dieses Jahres unterstützen. Mit einer nochmaligen Support-Verlängerung ist ab 2016 aber wohl auch von Google nicht mehr zu rechnen. Larson empfiehlt den Benutzern auch dringend, jetzt auf ein noch vom Hersteller unterstütztes und sicheres [...]

By | 2015-04-18T19:41:47+00:00 April 18th, 2015|Allgemein|Kommentare deaktiviert für Google supportet Chrome unter XP noch bis Jahresende

Sicherheitsupdates für PHP

Über eine Sicherheitslücke in der Funktion unserialize() können Kriminelle Code in PHP-Anwendungen einschleusen. Dagegen helfen die aktuellen Updates für die PHP-Versionen 5.6.6, 5.5.22 und 5.4.38, die so schnell wie möglich eingespielt werden sollten, weil schon ein Exploit existiert, der diese Sicherheitslücke ausnutzt. Das Problem besteht mit allen PHP-Installationen, die nicht auf dem aktuellen Stand sind. Darüber hinaus werden Angriffe über die Ghost-Lücke in der GlibC durch das Update erschwert und diverse weitere Bugs behoben, die man zum Beispiel im Changelog der Version 5.6.6 sehen kann.

By | 2015-02-23T16:42:44+00:00 Februar 23rd, 2015|PHP|Kommentare deaktiviert für Sicherheitsupdates für PHP