Joomla Sicherheitsupdates

Das Joomla-Entwicklerteam hat ein Sicherheitsupdate für die beiden aktuell unterstützten Versionszweige des Open-Source-CMS veröffentlicht. Joomla 2.5.19 und Joomla 3.2.3 sollen kürzlich entdeckte Schwachstellen des Content Management Systems stopfen.

Mit Veröffentlichung von Joomla 2.5.19 will das Joomla-Entwicklerteam zwei Schwachstellen in Joomlas Versionszweig 2.5.x mit Langzeitunterstützung (LTS) beheben. Auch für die aktuelle STS-Version 3.2.x wurde ein Update veröffentlicht. Joomla 3.2.3 behebt über 45 Fehler und stopft 29 Sicherheitslücken, die z.B. SQL-Injection oder unautorisierte Logins ermöglichen.

Die Updates lassen sich über die in Joomla integrierte Update-Funktion im Administrationsbereich einspielen. Alternativ stehen auf der Projekt-Website Patch-Dateien für verschiedene Joomla-Versionen der Reihe 2.5.x und 3.2.x zum Download bereit.

Kunden die immer noch die nicht mehr unterstützten Joomla-Versionen kleiner 2.5 einsetzen sollten diese umgehend auf aktuelle Versionen updaten, da für diese Fehleransammlungen keine Updates mehr vorliegen.

Die Flickschuster von Adobe haben schon wieder zugeschlagen …

Adobe warnt zum zweiten Mal in diesem Monat vor einer kritischen Lücke im Flash Player. Anwender sollten schnellstmöglich updaten, denn die Lücke wird schon aktiv für Angriffe ausgenutzt.

Adobe warnt schon wieder vor einer sehr kritischen Lücke im Flash Player, die bereits für Angriffe ausgenutzt wird. Angreifer können die Sicherheitslücke missbrauchen, um beliebigen Schadcode auf den Rechnern ihrer Opfer auszuführen. Die Firma hat einen Notfallpatch veröffentlicht und empfiehlt allen Nutzern, das Update so schnell wie möglich einzuspielen. Von der Lücke betroffen sind die Flash-Versionen für Windows, Mac OS X und Linux.

Wie immer an dieser Stelle empfehlen wir, Flash einfach zu deinstallieren. Websites mit Flash sind unsinnig und sollten analog zu den Webdesignern, die diesen Mist immer noch empfehlen großräumig gemieden werden.

Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklaut

Wie nicht anders zu erwarten ist eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen aufgetaucht. Die Sicherheitslücke wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 350.000 Kunden vor allem aus Deutschland, Österreich und der Schweiz.

Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified vor Version 1.05 SP1; die Varianten xt:Commerce 4, Gambio und aktuelle Versionen von commerce:SEO sowie Modified sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat gefundenen kritischen Sicherheitslücke signalisierte der Hersteller in unverantwortlicher Ignoranz, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Dies stellt einen weiteren triftigen Grund dar, nicht mit xt:Commerce zu arbeiten.

Commerce:SEO stellt ein Fix bereit, der auch xt:Commerce 3 und xtcModified 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen..

Nachtrag: Damit es den ‘Entwicklern’ von xt:Commerce die Schamröte ins Gesicht treibt:
Die Entwickler von modified haben einen Fix für alte modified-Shops bereitgestellt, der die sicherheitslücke durch den einfachen Austausch einer einzigen Datei zuverlässig fixt. http://www.modified-shop.org/forum/index.php?topic=28894

Liebe Möchtegern-Entwickler von xt:Commerce. SO geht man mit seiner Verantwortung als Entwickler um.

Owner-Verifikation bei generischen Domainendungen

Aufgrund einer Vorgabe der ICANN müssen zukünftig die Kontakt-Daten des OwnerC (Domaininhaber) bei Com/Net/Org/Info/Name/BIZ-Domains verifiziert werden. Dies erfolgt ähnlich dem bekannten Opt-In-Verfahren: Nach erfolgreicher Registrierung einer Domain, einem eingehenden Transfer oder einer Änderung an der E-Mail-Adresse des OwnerC-Kontaktes wird automatisch eine E-Mail an den OwnerC geschickt. Sie enthält einen Verifizierungslink, über den der OwnerC seine Kontaktdaten aktiv bestätigen muß.

Die Verifizierung über den Link muß innerhalb von 15 Tagen erfolgen. Werden die Daten im vorgegebenen Zeitfenster nicht verifiziert, hat dies die Deaktivierung der betroffenen Domains zur Folge. Wir sind mal gespannt, wie das bei den Amis funktioniert. Diese Analphabeten vor dem Herrn sind ja schon mit dem Lesen eines Flugtickets komplett überfordert. Wie wollen die denn so eine Überprüfungsmail lesen (und verstehen)?

Sepa die unendliche Geschichte?

Brandaktuell: die EU-Kommission hat die Frist für die SEPA-Umstellung vom 01.02.2014 um sechs Monate verlängert. Man bedauere die Entscheidung, wolle dadurch aber verhindern, dass es zu Unterbrechungen im Zahlungsverkehr komme, erklärte der zuständige EU-Kommissar Michel Barnier am Donnerstag in Brüssel. Bisher sollte das SEPA-Zahlungssystem zum 1. Februar europaweit in Kraft treten. Aber: Die Migrationsfrist zum 1.2.2014 bleibt bestehen. Banken dürfen die alten Zahlungsformate bis zum 1.8.2014 akzeptieren (müssen dies aber nicht).

Da das absehbar war, hier nochmals der Hinweis: Wer noch nicht umgestellt hat, darf sich gerne melden. Wir haben hierfür sinnvolle Software entwickelt ;)

Sicherheit im Webhosting bei der twosteps GmbH

Die twosteps GmbH hat schon immer ein Auge auf die Sicherheit gelegt. In der Zwischenzeit haben wir auch schon hinreichend bewiesen, das sich erfolgreiches, gutes und sehr schnelles Webhosting sich nicht mit Sicherheit beißt und man nicht jeden neuen Hype mitmachen muss.

Damit wir in Zukunft noch schneller auf die Sicherheitsanforderungen reagieren können, haben wir uns der Allianz für Cybersicherheit, einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI) angeschlossen haben. Die dort auflaufenden Meldungen über Angriffe und Sicherheitslücken werden bei uns natürlich direkt zu Ihrem Schutz umgesetzt.

„Anti“spamEurope?

Man(n) glaubt es nicht. Vier Tage hat es gehalten. Ganze vier Tage war die „antispameurope GmbH“ bei uns nicht als Spammer gelistet.

Ausgetragen am 7.6.2013 kommt heute doch prompt wieder Spam von dort rein:

************************************
Return-Path: <x>
X-Original-To: x
Received: from srv***.twosteps.net (localhost [127.0.0.1]) by srv***.twosteps.net (Postfix) with ESMTP id 40B164DBA0D9 for <x>; Tue, 11 Jun 2013 14:45:44 +0200 (CEST)
X-DKIM: Sendmail DKIM Filter v2.8.2 srv***.twosteps.net 40B164DBA0D9
Received: from mx-relay05-dus.antispameurope.com (mx-relay05-dus.antispameurope.com [94.100.134.205])
by srv***.twosteps.net (Postfix) with ESMTPS id C685E4DBA0BC for <x>; Tue, 11 Jun 2013 14:45:43 +0200 (CEST)
X-DKIM: Sendmail DKIM Filter v2.8.2 srv10.twosteps.net C685E4DBA0BC
Received: from exhub001.local.local (172.29.10.51) by mail.hostdich.de (172.29.10.11) with Microsoft SMTP Server (TLS) id 8.1.393.1; Tue, 11 Jun 2013 14:45:31 +0200
Received: from exmbs001.local.local ([10.10.10.35]) by exhub001.local.local ([10.10.10.43]) with mapi; Tue, 11 Jun 2013 14:44:40 +0200
From: “info@andresen-gmbh.de” <info@andresen-gmbh.de>
To: x <x>
Date: Tue, 11 Jun 2013 14:45:27 +0200
Subject:
Thread-Index: Ac5moYyJ8FwF4OT+QeS3ZwMGLAABKw==
Message-ID: <3A4A__________________________________DAA0@exmbs001.local.local>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
acceptlanguage: de-DE, en-US
Content-Type: multipart/related;
boundary=”_010_3A4A8F4076F60C45AC0EBDA45297D32A30A38DDAA0exmbs001local_”;
type=”multipart/alternative”
MIME-Version: 1.0
X-cloud-security-sender:x
X-cloud-security-recipient:x
X-cloud-security-Virusscan:CLEAN
X-cloud-security-disclaimer: This E-Mail was scanned by E-Mailservice on mx-gate05-dus with 1091210A001A
X-cloud-security:scantime:.0975
************************************

Jetzt ist 94.100.134.0/24 wieder auf unbestimmte Zeit in der Blacklist versenkt. Man fragt sich ja wirklich, was sich dieser Spamhoster so denkt. Glaubt der wirklich, nur weil er sich antispamEurope GmbH nennt, das er Spams verschicken (lassen) kann wie er will (Hauptsache die Kasse stimmt)?  So frei nach dem Motto „Meine Firma heißt  antispamEurope, was ich verschicke ist automatisch kein Spam, also dulden Sie die unerwünschte Werbung in Ihrem Briefkasten!“?

Liebe antispamEurope GmbH, Sie können noch so intensiv daran glauben, dass der Name die halbe Miete ist und Ihnen das ungehinderte Spammen ermöglicht. Unsere Kunden hier sind intelligenter als Sie und haben sich bei uns schneller über Ihren Spam beschwert als Sie sich Gedanken über die nächste Spamwelle aus Ihrem Haus gemacht oder das Geld von der letzten Welle gezählt haben.

Windows XP – Zeitbombe mit Ansage

Microsoft hat bekannt gegeben, dass die Unterstützung für dieses Betriebssystem zum 8.4.2014 eingestellt wird. Vielen Anwendern ist nicht ganz klar, was dies letzten Endes für sie bedeutet. Microsoft stellt ab dem 8.4.2014 nicht nur den Support für das jetzt 12 Jahre alte System ein, nein, man erhält ab diesem Zeitpunkt auch keine Updates mehr. Wenn dann eine Sicherheitslücke auftaucht, (daher also am 9.4.2014) wird von Microsoft  keine Lösung mehr geliefert.

 

Rechner mit Windows XP (inkl. ServicePack 3) stehen in der Hitliste der virenverseuchter Rechner einsam an der Spitze.  Jetzt werden ewig Gestrige einwenden, dass das nur zeigt, wie viele Installationen mit XP laufen (knapp 40% aller Rechner laufen in der Tat noch mit XP), aber auch wenn man die Zahlen normalisiert und bei jedem Betriebssystem die Infektionen zählt, kommen alle Virenwächter auf Sagenhafte Infektionsraten von 21% und 29% bei XP-Rechnern.

 

Es ist ja verständlich, dass man nicht auf Windows 8 updaten möchte, dazu ist diese Klick-Spiel-Wiese doch zu produktivitätshemmend (es soll Benutzer geben, die sich eine Stecker Leiste mit Schalter angeschafft haben weil Sie den „Showdown“-Button nicht gefunden haben), aber man sollte sich mit den Alternativen (z.B. Windows 7 solange es noch erhältlich ist) befassen, denn schon heute ist Windows XP eigentlich verantwortungsvoll nicht mehr einsetzbar.

Coexist

Ein Bild, bereitgestellt von Sari Nusseibeh, das mehr aussagt, als man mit Worten sagen könnte.

 

coexist

Flash-Sicherheitslücken – langsam wirds langweilig

Keine zwei Wochen nach dem letzten Sicherheitsupdate zu der Fehler- und Sicherheitslückensammlung Flash (die langsam schlimmer als das eh schon sehr furchterregende Joomla ist)  folgt nun ein neues Sicherheitsupdate.

Wer hätte es gedacht, das letzte Sicherheitsupdate hat mit den drei gestopften Lücken eine noch nicht quantifizierbare Anzahl an Sicherheitslücken (Speicherüberlauf, ausführen von Codeblöcken, Ganzzahlüberlauf, Aufrufen von Schadcode) aufgerissen.

Die Entwickler von Flash setzen alles daran, dass auch der letzte Anwender dieses Sicherheitsrisiko vom Rechner entfernt.

Nachsatz: Wer nicht ohne auskommt (dem sei gesagt, dass bei uns seit mehr als drei Jahren kein Flash-Player mehr installiert ist) und das Update einfährt, sollte in jedem Fall die Option „Ja, McAfee Security Scan Plus installieren“ deaktivieren. Es zeugt von einem massiven Anfall von Dummheit, diese beiden Softwareteile miteinander zu bündeln.

←Older