Sicherheits-Hinweise für alle Kunden: sofortiges Drupal-Update erforderlich

In den letzten beiden Wochen gab es sicherheitsrelevante Ereignisse, die uns zwingen, alle Kunden darüber zu informieren.

 

Drupal 7: Kritische Sicherheitslücke erfordert sofortiges Handeln

In Drupal, Version 7, wurde eine Sicherheitslücke gefunden, die Angreifern das Ausführen von beliebigen Befehlen auf die Datenbank und damit auch auf Ihren Webspace erlaubt.

Die Lücke wurde mit Version 7.32 geschlossen, wobei alle vorherigen Versionen betroffen sind.

Informationen zur Behebung und weiteren Details finden Sie in unserem Blog:

Leider wird diese Sicherheitslücke seit Freitag, 17. Oktober 2014, aktiv ausgenutzt. Die gehackten Webseiten werden mit Schadcode und sog. Backdoors ausgestattet und zum Versand von Spam-Mails genutzt.

Alle Kunden werden daher hiermit aufgefordert, ihre Installationen mit Drupal 7 bis zum spätestens 27.10.2014, 18:00 Uhr auf Version 7.32 (oder höher) zu aktualisieren.

Alle Installationen mit Drupal 7, die bis dahin nicht aktualisiert wurden, werden ab diesem Zeitpunkt für den HTTP(S)-Zugriff von extern gesperrt!

Wir bitten, diese Maßnahme zu entschuldigen. Durch die Angriffe wird jedoch nicht nur Ihre Drupal7-Webseite, sondern unsere gesamte Hosting-Infrastruktur in Mitleidenschaft gezogen.

Falls Sie keine Möglichkeit haben, das Upgrade selbst durchzuführen, stehen unsere Drupal-Partner zur Verfügung. Melden Sie sich dazu kurz bei unserem Support!

 

SSL-Sicherheitslücke in SSLv3 / POODLE

Seit 15. Oktober ist bekannt, dass in SSLv3, einem 18 Jahre alten Standard zur gesicherten Datenübertragung, eine gravierende Sicherheitslücke besteht.

Die Sicherheitsforscher bei Google raten zur Abwehr der „POODLE“ getauften Lücke zur Abschaltung von SSLv3 am Webserver, genau wie die Webbrowser die Unterstützung dafür mit den nächsten Updates entfernen werden.

Alle Informationen finden Sie in unserem Blogpost:

Wir haben deshalb per sofort auf allen Webservern die Unterstützung für SSLv3 komplett deaktiviert.

Alle Endanwender, die einen halbwegs aktuellen Browser (also neuer als IE6 …) einsetzen, werden von der Änderung nichts bemerken.

Beeinträchtigt werden lediglich alle Anwender, die noch auf den Internet Explorer 6 setzen. Nachdem aber sogar Microsoft bereits im April 2014 jegliche Unterstützung für Windows XP (und damit den Internet Explorer) beendet hat, sollten sowieso alle verbliebenen Anwender auf neuere Versionen aktualisiert haben.

 

Gerne stehen wir Ihnen bei Fragen zu diesen sicherheitsrelevanten Themen, soweit sie unsere Infrastruktur betreffen, zur Verfügung.


POODLE-Sicherheitslücke in SSL: Ende für Internet Explorer 6

Bereits am 15.10.2014 wurde von Sicherheitsforschern bei Google eine „POODLE“ getaufte Sicherheitslücke im SSL-Protokoll, welches unter anderem zum gesicherten Abruf von Webseiten oder E-Mails verwendet wird, entdeckt. Betroffen ist lediglich der bereits 18 Jahre alte Standard „SSLv3“.

Drupageddon: „jede ungepatchte Installation ist wahrscheinlich gehacked“

Drupal hat heute im Bezug auf die „Drupageddon“-Lücke ein sog. Public Service Announcement verschickt.