Sicherheitsupdates für Ruby on Rails

Das Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle: content_tag(:div, "hi", title: user_input.html_safe) Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft. Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können. Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

2016-08-12T11:22:09+02:00August 12th, 2016|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Ruby on Rails

Java 8u91/92 bringt mehr Sicherheit

Gerade werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es diesmal nicht nur wie üblich um kritische Fehler in Java selbst, sondern der Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern stehen im Fokus. Die JVM (Java Virtual Machine) hat nun zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die die Virtual Machine bisher selbst behandelt hat. Bei Nutzung des Flags ExitOnOutOfMemory stoppt sie jetzt, sobald der Hauptspeicher nicht mehr ausreicht. Wenn ein Nutzer das Flag CrashOnOutOfMemory setzt, führt der Fehler zum Absturz der JVM, der dann entsprechende Einträge in den Log-Dateien erzeugt. Der Message-Digest Algorithm 5 (MD5) gilt schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit denselben MD5-Hashes recht einfach möglich ist. Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) inzwischen standardmäßig keine MD5withRSA-Signaturen mehr. Wer im Legacy-Bereich weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste der deaktivierten Algorithmen (jdk.tls.disabledAlgorithms) wieder entfernen. Auch diesmal gibt es wie immer wieder eine große Anzahl von Bugfixes. Alle Neuerungen im  JDK 8u91/8u92 finden Sie in den Release Notes. Auf der Download-Seite stehen das JDK und auch die Laufzeitumgebungen (JRE) für Clients und Server in den aktuellen Versionen zum Download bereit.

2016-04-20T18:02:42+02:00April 20th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Java 8u91/92 bringt mehr Sicherheit

Picasa wird von Google eingestampft

Googles Picasa setzt sich aus einer Bildbearbeitungssoftware und einem Webdienst zusammen, bei dem die Anwender ihre Fotos im Internet veröffentlichen können. Beide Picasa-Komponenten werden noch in diesem Jahr eingestellt. Die Desktop-Software wird es ab dem 15. März 2016 nicht mehr geben, die Picasa-Webalben werden dann im Mai 2016 geschlossen. Die Benutzer sollen auf Google Fotos wechseln, wo sie aber keine so umfassende Bearbeitungssoftware mehr erhalten. Wer seine Fotos und Videos in den Picasa-Webalben gespeichert hat, muss sich aber keine Sorgen machen: Google Fotos übernimmt die Onlinespeicherfunktion. Bilder und Videos wurden schon dorthin kopiert. Außer der Webanwendung von Google Fotos gibt es noch je eine iOS- und Android-App für diesen Dienst. Die Desktop-Software Picasa für Windows und OS X lässt sich zwar weiter verwenden, Updates dazu soll es aber nicht mehr geben.

2016-02-15T09:30:37+02:00Februar 15th, 2016|Bildbearbeitung|Kommentare deaktiviert für Picasa wird von Google eingestampft

Twitters Diffy zeigt Fehler in Updates

Twitter setzt das in der Programmiersprache Scala geschriebene  Regressionswerkzeug Diffy schon längere Zeit als effizientere und effektivere Alternative zu selbstgeschriebenen Unit-Tests bei neuen Programmfunktionen ein. Jetzt hat der Microblogging-Dienst Diffy für alle als Open Source freigegeben. Diffy zeigt Fehler in Apache-Thrift- und HTTP-Services ganz automatisch an. Dabei agiert es wie ein Proxy, der den neuen und den alten Code Seite an Seite laufen lässt und dabei das Verhalten miteinander vergleicht und alle Unterschiede anzeigt. "Wächst die Komplexität eines Systems, wird es schnell unmöglich, eine angemessene Testabdeckung über selbstgeschriebene Tests zu erreichen", schreibt Puneet Khanduri, aus Twitters Tools- und Frameworks-Team: "Dann braucht man ambitioniertere automatisierte Techniken, bei denen Entwickler nur geringfügig eingreifen müssen." Das Tool von Twitter könnte für die Pflege von komplexen Internetanwendungen sehr hilfreich sein und für kürzere Testzeiten und schnellere Updates sorgen.

2015-09-04T18:24:10+02:00September 4th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Twitters Diffy zeigt Fehler in Updates

Apple legt zurückgezogene Safari-Updates neu vor

Eine Woche nachdem Apple die Safari-Updates für OS X 10.8, 10.9 und 10.10 kommentarlos zurückgezogen hat, liegen jetzt frische Updates für den Browser aus dem Hause Apple vor. Seit gestern Morgen werden Safari 6.2.2 für OS X Mountain Lion, Safari 7.1.2 für OS X Mavericks und Safari 8.0.2 für OS X Yosemite über die Softwareaktualisierung in der Mac-App-Store-Anwendung unters Volk gebracht.. Die Updates enthalten zahlreiche Sicherheitsfixes, die auch in Safari 6.2.1, 7.1.1 und 8.0.1 steckten, beseitigen aber auch ein "seltenes" Problem, bei dem "der Zugriff auf Safari" nach dem Update nicht mehr möglich gewesen sein soll. Wie sich das genau äußerte, gab Apple allerdings nicht preis.

2014-12-13T20:22:51+02:00Dezember 13th, 2014|CSS, HTML|Kommentare deaktiviert für Apple legt zurückgezogene Safari-Updates neu vor

Oracle bringt neues Schema für Java-Versionsnummern

Mit dem nächsten JDK-7-Update, das am 18. Juni geplant ist, will Oracle nach Informationen von Heise ein neues Versionsnummernschema für Java einführen. Als Grund gibt Oracle die in letzter Zeit häufiger gewordenen Sicherheitsupdates für Java an. Im neuen Schema erhalten normale Updates mit Fehlerkorrekturen bzw.  Funktionserweiterungen in der Unternummer ein Vielfaches von 20. Sicherheitsupdates bekommen  dann die ungeraden Zahlen 5, 11 oder 15 in der Unternummer. Auf diese Weise sollen sich Fehlerkorrekturen einfacher von kritischen Sicherheitsupdates unterscheiden. Sie können dann auch separat und damit rückwirkend veröffentlicht werden. Auf das derzeit aktuelle JDK7u21 folgen also als nächste „normale“ Updates die Versionen  JDK7u40 beziehungsweise JDK7u60. Die nächsten Sicherheitsupdates für das JDK7u40 erhalten  dann die Versionsnummern 7u45, 7u51 und 7u55.

2013-05-15T08:31:41+02:00Mai 15th, 2013|Javascript|Kommentare deaktiviert für Oracle bringt neues Schema für Java-Versionsnummern

Google-Suche bringt weniger schädliche Suchergebnisse

Eine Untersuchung von AV-Test sollte klären, wie effektiv die Suchmaschinen ihre Benutzer vor Schädlichen Websites schützen. Dabei wurden in 18 Monaten insgesamt 40 Millionen Websites mit sieben Suchmaschinen getestet. Nach dieser Studie (PDF) lieferte Bing insgesamt 1285 mit Malware verseuchte Ergebnislinks. Bei Google waren es nur 272 Links auf gefährliche Adressen. Die beiden Suchmaschinen wurden mit je ca. zehn Millionen Websites getestet. Die Malware-Studie unterstreicht nach AV-Test auch, dass es sehr wichtig ist, vorhandene Updates für Betriebssystem, Browser und andere Software immer möglichst umgehend zu installieren. “Die infizierten Websites verwenden meistens Malware, die bekannte Schwachstellen ausnutzt. Diese Anfälligkeiten stecken normalerweise in veralteten Browsern, alten Add-ons oder Erweiterungen und nicht aktuellen Versionen von PDF-Readern”, kann man in der Studie nachlesen. Die Wahrscheinlichkeit einer Infektion mit Malware über infizierte Internetseiten werde durch aktuelle Software sehr deutlich reduziert.

2013-04-15T09:57:06+02:00April 15th, 2013|HTML, Javascript, test|Kommentare deaktiviert für Google-Suche bringt weniger schädliche Suchergebnisse

Joomla 2.5 mit neuen Funktionen

Das Open Source CMS Joomla kommt in der neuen Version 2.5 mit einigen Neuerungen daher. Dazu gehört zum Beispiel die erweiterte Suchfunktion, die nun mit Wortstämmen und automatischer Vervollständigung arbeiten kann. Die Suche an sich soll auch deutlich schneller geworden sein und dabei auch natürliche Sprache erkennen können. Für den Webseitenersteller könnte interessant sein, dass Joomla jetzt nicht mehr nur MySQL unterstützt. Version 2.5 arbeitet auch mit dem Microsoft SQL-Server, in Kürze sollen auch PostgresSQL, SQLite, Oracle und PDO mit Joomla zusammenarbeiten. Die mit Joomla 1.6 eingeführten automatischen Updates informieren den Admin jetzt auch, wenn ein Update zur Installation bereitsteht. Im Joomla-Blog findet man weitere Details.

2012-01-26T09:13:37+02:00Januar 26th, 2012|PHP|Kommentare deaktiviert für Joomla 2.5 mit neuen Funktionen
Nach oben