Tag-Archive for » Support «

JetBrains aktualisiert PhpStorm und PyCharm

Beim dem tschechischen Toolhersteller JetBrains startet traditionell im November die Update-Welle über alle Entwicklungsumgebungen hinweg.

Auf das für die Webentwicklung ausgelegte WebStorm 2017.3 folgen nun PyCharm 2017.3 für Python- und PhpStorm 2017.3 für PHP-Entwickler.

Auf das frische Release des Flaggschiffs IntelliJ IDEA muss man noch ein wenig warten, es dürfte sich aber außer durch Bugfixes kaum vom Release Candidate unterscheiden, der schon seit Mitte November verfügbar ist.

Nullable Types aus PHP 7.1 und REST-Client-Interface

PhpStorm kommt wie schon in den vergangenen beiden Jahren kurz vor dem Release der neuen Sprachversion heraus, so dass die für PHP 7.2 erwarteten Neuerungen dort noch nicht berücksichtigt werden.

Dafür bietet die Entwicklungsumgebung aber erstmals den vollständigen Support für die in PHP 7.1 eingeführten Nullable Types. Die beiden Refactoring-Funktionen Extract Interface und Change Signature sind darauf vorbereitet und bewahren die Nullability statt wie bisher (falsche) Fehlermeldungen herauszugeben.

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren.

Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste.

Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als “deprecated” abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen.

PHP-Programmierer müssen aber nicht nur auf Altes verzichten – sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit der Skriptsprache sicherer und komfortabler machen.

Kein Support mehr für PHP 5

Am heutigen 1. Januar 2017 hat PHP 5.6 als letzte 5er-Version der beliebten Script-Sprache das Ende seiner aktiven Supportphase erreicht: Die aktuelle Version PHP 5.6.30 wird das letzte reguläre PHP-5-Release sein, das herausgekommen ist. Danach gibt es nur noch das neueste Haupt-Release PHP 7 bzw. PHP 7.1.

An PHP 5 wird auch ab sofort nicht mehr weiter entwickelt. Allerdings versprechen die Entwickler, kritische Sicherheitslücken in PHP 5.6 noch bis Ende 2019 zu stopfen – aber spätestens zu diesem Zeitpunkt sollte man auf eine 7er-Version der Scriptsprache aufgestiegen sein.

Die Web-Statistiker von W3tech fanden PHP 7 bisher nur auf 2,5% der untersuchten Internetseiten, die PHP nutzen. PHP 5.6 wird auf 21% der PHP-Sites eingesetzt, der Rest verteilt sich auf ältere, nicht mehr gepflegte PHP-Versionen. Nach Angaben von W3tech nutzen über 80% der 10 Millionen populärsten Websites PHP.

Etwas freundlicher kommt die Statistik von packagist.org, dem Standard-Repository des PHP-Package-Managers Composeherüber: Hier kamen PHP 7.0 und 7.1 im November 2016 zusammen zumindest auf gut 36% der Zugriffe und PHP 5.6 auf 37%. Aber leider erfolgen auch bei packagist.org ein Viertel aller Zugriffe mit veralteten und nicht mehr supporteten PHP-Versionen.

Sicherheitsupdates für aktive PHP-Versionen

Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar. Angreifer können diese Installationen aus der Ferne attackieren, Speicherfehler auslösen und dann eigenen Code auf diese Systeme übertragen und ausführen.

Diese zwei Schwachstellen wurden in den jetzt zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die dazugehörigen Windows-Binaries finden Sie auf dieser Webseite.

Sicherheitslücken und Exploits

Die Sicherheitslücke CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Nutzen die Angreifer diese Schwachstelle aus, dann können sie über ein dafür präpariertes Zip-Archiv einen Speicherfehler hervorrufen und dann eigenen Code auf dem Rechner ausführen.

Die zweite Schwachstelle mit der Kennung CVE-2016-3074 steckt in der Bild-Bibliothek libgd 2.1.1, die seit PHP 4.3 bei der Default-Installation standardmäßig auf den Rechner kommt. Um über diese Schwachstelle einen Speicherfehler auszulösen, müssen die Angreifer dem Opfer komprimierte gd2-Daten unterjubeln. Danach können sie das System entweder crashen oder darauf sogar Schadcode ausführen.

Das Ende von PHP 5.5

AchtungBei dieser Gelegenheit möchte ich darauf hinweisen, daß der Support der Entwickler für die PHP-Version 5.5 schon am 10. Juli 2015 endete.

Sicherheitsupdates gibt es für PHP 5.5 jetzt noch bis zum 10. Juli 2016 – in 2 Monaten sollte man also im eigenen Interesse auf die neueren Zweige 5.6 (Sicherheitsupdates bis 28. August 2017) oder noch besser auf PHP 7.0 (aktuellste Version) upgraden.

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren.

Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet.

Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten.

Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen.

Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4.

Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

Erste Patches für die Glibc-Sicherheitslücke

linuxNahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt.

Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen.

Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen.

Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll aktuell schon über den ZyXEL-Support erhältlich sein, nächste Woche sollen dann abgesicherte Firmwareupdates folgen.

Weitere Details zu den Reaktionen weiterer Hersteller wie Citrix oder VMWare finden Sie in einem aktuellen Artikel bei Heise.

Supportende für Internet Explorer 8-10

ie10Ab nächsten Dienstag bringt Microsoft für seine Altlasten-Browser Internet Explorer 8, 9 und 10 keine Sicherheitsupdates mehr heraus. Das hatte der Konzern aus Redmond schon im Jahr 2014 angekündigt und die Benutzer zum Update aufgefordert.

Aus diesem Grund wird es für die Benutzer Zeit, sich jetzt um Alternativen zu kümmern.

Um festzustellen, welche Version man auf seinem Rechner installiert hat, startet man den Browser, klickt dann auf das Zahnrad-Symbol in der Ecke des Explorer-Fensters und den Menüpunkt „Über Internet Explorer“ aus. In ganz alten Versionen muss man stattdessen den Untermenüpunkt „Info“ über den Menüpunkt „Hilfe“ anwählen.

Den Upgrade auf eine aktuelle Version des Microsoft-Browsers kann man anstoßen, indem man auf die Systemsteuerung klickt und dort im Bereich „Windows Update“ die Schaltfläche „Nach Updates suchen“ anklickt.

PHP 5.6.12 schließt Sicherheitslücken

PHP_Support20150807PHP ist noch immer die beliebteste Programmiersprache im Internet. Mit der soeben veröffentlichten Version PHP 5.6.12 schließen die Entwickler insgesamt zwölf Schwachstellen, darunter sogar einen Stack-Überlauf in der GD-Bibliothek.

Auch die anderen Release-Zweige wurden abgesichert, dort sind jetzt die aktuellen Versionsnummern 5.4.44, 5.5.28 und 7.0.0 Beta 3.

Eindringlich weisen die Entwickler auch darauf hin, dass der Support für den 5.5er-Zweig schon am 10. Juli ausgelaufen ist. Seither erhält Version 5.5.28 nur noch Sicherheits-Patches und Probleme, die nicht sicherheitsrelevant sind, wurden deshalb auch nicht mehr geschlossen.

Google supportet Chrome unter XP noch bis Jahresende

WonXPChromeNachdem Berliner Datenschützer verlangt haben, nach dem Supportende 10.000 PCs in der Verwaltung der Hauptstadt abzuschalten, weil sie noch unter dem nicht mehr von Microsoft unterstützten Betriebssystem Windows XP laufen, machen sich auch private XP-Nutzer verstärkt Gedanken zum Wechsel.

Jetzt springt Google den verunsicherten XP-Nutzern noch einmal bei. “Wir wissen, dass nicht jeder leicht auf ein neueres Betriebssystem wechseln kann”, äußert Mark Larson, als Director of Engineering bei Google für Chrome verantwortlich, in einem Blogeintrag. “Millionen Menschen arbeiten noch immer täglich mit XP-Rechnern. Wir wollen, dass diese Menschen die Option haben, einen Browser zu benutzen, der so aktuell und sicher wie auf einem nicht mehr unterstützten Betriebssystem möglich ist.

Deshalb will Google seinen Browser unter Windows XP noch bis Ende dieses Jahres unterstützen. Mit einer nochmaligen Support-Verlängerung ist ab 2016 aber wohl auch von Google nicht mehr zu rechnen.

Larson empfiehlt den Benutzern auch dringend, jetzt auf ein noch vom Hersteller unterstütztes und sicheres Betriebssystem umzusteigen, weil XP-Rechner seit über einem Jahr keine Sicherheitsupdates mehr erhalten hätten und schon mehrere kritische Schwachstellen hätten.

Auf Betriebsystemsebene sind Computer mit Windows XP grundsätzlich in Gefahr, durch Schadsoftware und Viren infiziert zu werden, was es für Chrome auch schwierig macht, eine sichere Umgebung zum Surfen zu bieten”, macht Larson das Problem recht deutlich.

Windows 8.1 Update 1 kommt am 8. April zum Ende von XP

Wer Internetseiten erstellt, braucht einen vernünftigen Desktop-Rechner mit einem Betriebssystem, das ihm auch ohne Umwege Zugriff auf Programme und das Dateisystem gibt und kein mit Kacheln im Windows Phone-Look zugekleistertes Betriebssystem wie Microsofts Windows 8.

Der Softwareriese hat jetzt für die Veröffentlichung der Korrektur-Version Windows 8.1 Update 1 ein spezielles Datum ausgewählt: den 8. April, also den Tag, an dem der Support von Windows XP ausläuft. Das berichtet Paul Thurrott von Windows Supersite in einem Tweet; Der Monat April als Releasetermin war schon länger bekannt geworden.

Der 8. April ist auch der “Patchday” des Monats, also der Tag, an dem Microsofts übliches Monatsupdate mit Sicherheitspatches und Fehlerkorrekturen herauskommt.

Entwickler mit MSDN-Abo erhalten das Betriebssystem schon eine Woche vorher, nämlich am 2. April. Sie können dann vorab eventuell noch notwendige Änderungen an ihrer Software vornehmen.

Windows 8.1 Update 1 startet wieder direkt in den Desktop hinein und hat auch wieder einen Startknopf mit Startmenü – warum nicht gleich so?

Für manchen der früher Windows für die Erstellung von Internetseiten nutzte, kommt diese Einsicht der Microsoft-Chefs wohl zu spät, weil er sich schon für den Umstieg auf ein nutzbares Betriebssystem entschieden hat.