Sicherheitsupdate für PHPMyAdmin

Für PHPMyAdmin wurde die Version 3.1.3.1 als Bugfix-Release veröffentlicht. Behoben wurde u.a. eine XSS-Lücke sowie Fehler, die das Öffnen und Lesen von Dateien ermöglichten. Weitere Informationen finden sich in den Release Notes. Unsere Installationen von PHPMyAdmin wurden bereits aktualisiert.

PHP-„Bug“ seit 5.2.2

Mit dem Upgrade auf Lenny wurde auch PHP statt in Version 5.2.0 jetzt auf Version 5.2.6 aktualisiert. Wäre eigentlich kein Problem, wenn nicht – trotz minor Version-Upgrade – die PHP-Entwickler ein relativ zentrales Verhalten geändert hätten. Bisher war es möglich, Objekte über serialize() in der Datenbank „schlafen“ zu legen, und später über unserialize() wieder „aufzuwecken“: […]

Kernel-Update von Debian

Das Debian-Projekt hat neue Pakete des Linux-Kernels in Version 2.6.26 veröffentlicht, da mehrere Sicherheitslücken gefunden und behoben wurden. Weitere Details können bei Debian Security und auf der Debian Security-Mailingliste nachgelesen werden. Hier stehen erstmal Updates aller Server an – zwar ungünstig, dass so kurz nach den Upgrades erneut Reboots notwendig sind, aber für die Sicherheit […]

g*Sales in Version 1.4.2

Das von uns verwendete Abrechnungs-Programm g*Sales wurde soeben in Version 1.4.2 veröffentlicht. Enthalten sind primär Bugfixes, davon jedoch einige größere: Problem mit Anführungszeichen in der Konfiguration und den Kundendatenfeldern behoben: Bei Verwendung der PHP-Einstellung magic_quotes auf off kam es durch unzureichende Input-Validation zu SQL/PHP-Fehlern PDF-Ausgabe bei Menge 0 an die g*Sales-Ansicht angepasst Validierung von E-Mailadressen […]

RoundCube auf Version 0.2 aktualisiert

Nach diversen Sicherheits-Problemen, die in RoundCube gefunden wurden, haben wir die bisher bei uns genutzte Version 0.1 auf die derzeit neueste SVN-Version 0.2 aktualisiert. Dabei gibt es u.a. folgende Neuerungen, die u.U. in den Einstellungen aktiviert werden müssen: Automatische Umstellung auf Sommerzeit Verbesserte Ordner-Anzeige: Einklappbare Unterordner, variable Breite Vorschau-Anzeige, wie in Outlook/Thunderbird Passwort-Änderung direkt in […]

neue SSL-Zertifikate

Nachdem auf dem 25. Chaos Communication Congress (25C3) demonstriert wurde, wie ein mit MD5 signiertes SSL-Zertifikat erfolgreich ausgenutzt werden konnte, um ein eigenes gültiges Zertifikat zu erhalten, haben wir die bei uns eingerichteten Zertifikate ebenfalls überprüft. Dabei stellten wir fest, dass die im Shared-SSL-Bereich sowie zur Absicherung von Applikationen wie Confixx, RoundCube o.ä. verwendeten SSL-Zertifikate […]

dringend Joomla aktualisieren!

Nachdem wir soeben eine gehackte Joomla-Instanz bei einem Kunden gefunden haben, ein dringender Aufruf an alle: Wer ein Joomla installiert hat, möge dringend auf die neueste Version (1.5.7 bzw. 1.0.15) updaten – es gibt mehr als nur eine Sicherheitslücke, über die Angreifer in das System kommen können. Konkret wurde bei diesem Kunden jede HTML-Datei (wirklich […]

Sicherheitslücke in PHPMyAdmin < 2.11.9.1

Wie Heise heute berichtet, gibt es in Versionen vor 2.11.9.1 von PHPMyAdmin, der populären Administrationsoberfläche für MySQL-Datenbanken, eine gravierende Sicherheitslücke, die es Angreifern ermöglicht, beliebigen PHP-Code auszuführen. Wir haben daher auf allen Systemen ein Upgrade durchgeführt, die sichere Version 2.11.9.1 ist nun überall im Einsatz.

Performance-Steigerung durch mod_itk

Wie bekannt, setzen wir derzeit auf den Webhosting-Servern ausschließlich suPHP, und nicht mod_php ein, um die Sicherheit der einzelnen Kundenwebseiten – und der gesamten Systeme – zu verbessern. Ohne suPHP wären Angriffe auf einzelne Kundenwebseiten deutlich weitgreifender gewesen, und hätten auch andere Kundenseiten beeinträchtigen können. Leider bringen diese Sicherheitsvorteile auch Nachteile mit sich: Da PHP […]

Angriff auf Kundenwebseite (Server Mars)

Zwischen 13:55 und 14:30 Uhr war eine Webseite eines Kunden auf dem Server Mars Ziel einer DDoS-Attacke: von mehr als 65 unterschiedlichen IP-Adressen wurde die Präsenz mit mehr als 22.500 Anfragen binnen 5 Minuten zugeworfen. Durch das von uns eingesetzte suPHP kam es zu einer Auslastung des gesamten Servers, wodurch auch andere Präsenzen in Mitleidenschaft […]

RAID-Überprüfung erfolgreich

Nach den Geschehnissen der letzten Woche(n) (Venus, Mars) haben wir eine Überprüfung sämtlicher RAID-Systeme veranlasst. Durch die Überprüfung werden die Controller angewiesen, die Daten auf den angeschlossenen Festplatten zu verifizieren und, wenn nötig, zu korrigieren. Sollten dabei Fehler auf den Festplatten auftreten, die nicht korrigiert werden können, so werden diese ebenfalls entdeckt. Die Überprüfung ist […]

Sicherheitslücke in WordPress 2.5

Wie auf heise berichtet, befindet sich in Version 2.5 von WordPress eine gravierende Sicherheitslücke: Unter Veränderung eines korrekten Anmeldecookies können Administrator-Rechte erlangt werden. Die Entwickler empfehlen den sofortigen Upgrade auf WordPress 2.5.1, dort wurde die Sicherheitslücke geschlossen. Ebenfalls dringend geraten wird das Hinzufügen der Konfigurations-Anweisung SECRET_KEY. Um diese mit sinnvollem Inhalt zu generieren, wurde hier […]

Anti-Spam-Maßnahme: DomainKey Identified Mail DKIM

Seit Anfang April ist bei uns ein neues Verfahren gegen Spam im Einsatz, das nicht primär der Erkennung von Spam dient, sondern darauf abzielt, Mails als „kein Spam“ (=Ham) zu deklarieren. Das Verfahren ist relativ einfach: Eine eMail, die über einen unserer Systeme eingeliefert wird, wird von einem Filter-Programm entgegengenommen. Die bisher in der Mail […]