PhHosting

Eine neue Version von phpBB 3 steht zum Download bereit. In dieser Version wurden Stabilitätsprobleme behoben, die Performance verbessert und neue Funktionen hinzugefügt.
Die neuen Funktionen sind Templatevererbung und eine Post Warteschlange.
Mit der Templatevererbung ist es möglich Templates basierend auf anderen Templates zu erstellen und gewisse Dinge des Elterntemplates in das Kindtemplate zu übernehmen oder zu überschreiben. Die Postwarteschlange erlaubt es Posts zu einer bestimmten Zeit veröffentlichen zu lassen.
Neben diesen beiden neuen Funktionen wurden auch etliche andere Fehler, wie bereits erwähnt, behoben, jedoch keine sicherheitsrelevanten. im Folgenden ein kleiner Auszug der behobenen Fehler:

• Korrekter Themenstarter nachdem erste Post gelöscht wurde
• Suchmaschinen erhöhen die Zahl der Besuche eines Themas nicht mehr
• Ein Forum kann sich nicht mehr selber als Elternforum erhalten
• Benutzer können einen Beitrag nicht mehr verändern nach Ablauf der Editierzeit oder nachdem der Post gesperrt wurde
• Besseres Anhänge Caching
• Ausstehenden Posts werden nicht mehr zu den Benutzerposts gezählt
• und viele mehr

Für eine komplette Übersicht des Changelogs besuchen Sie die öffentliche Ankündigung.
Wie gewohnt stehen wir Ihnen für Fragen das Update zur neuesten Version von phpBB 3 betreffend zur Seite.

Mit der Version 1.5.8 von Joomla steht ein neues Sicherheits- & Bugfixupdate für Joomla 1.5 bereit. Das Update behebt zwei moderate Sicherheitsprobleme innerhalb von Joomla 1.5.
So war es per Voreinstellung möglich, das Benutzer mit dem Status Autor und höher in den Inhalt eines Artikels gefährliche HTML Tags einfügen konnten, wenn keine Filteroptionen gesetzt waren.
Durch die zweite Lücke war es ebenfalls möglich beliebigen HTML Code einzufügen diesmal innerhalb der Komponente com_weblinks, welche für Weblinks zuständig ist.
Beide Sicherheitslücken sind in der kompletten 1.5 Reihe bis einschließlich 1.5.7 vorhanden. Trotz der Tatsache, dass zur Ausnutzung der Lücken Benutzerkonten nötig sind, empfehlen wir ein rasches Update betroffener Versionen auf die aktuelle Version 1.5.8.
Neben den beiden Sicherheitslücken wurde auch eine Reihe weiterer Fehler behoben. Folgend ein kleiner Auszug:

• E-Mail Adressen werden korrekt verborgen wenn Sie Bereichs- und Kategoriebeschreibungen verwendet werden
• Beim Anmelden wird die ItemID korrekt beibehalten
• Gültiges xHTML im Suchformular
• Korrektes Löschen von Komponenten Verzeichnissen, beim entfernen von Komponenten
• Geschwindigkeitsverbesserung für Seiten mit vielen Menüeinträgen
• und viele mehr

Für eine komplette Liste besuchen Sie bitte den offizielen Veröffentlichungsbeitrag. Insgesamt wurden 71 Fehler behoben. Wie gewohnt stehen wir Ihnen gerne beim Update zur Seite.

Mit dem 22. Juli 2009 wird der Support für Joomla 1.0.x eingestellt. Die Gründe dafür bestehen in der Tatsache, dass das Softwaregerüst auf welches Joomla 1.0.x baut bereits 5 Jahre alt und somit noch aus Zeiten von Mambo herrührt. Es kann heutigen Ansprüchen bei Weitem nicht mehr Genüge leisten. Außerdem sind die stetig steigenden Zahlen von Joomla 1.5 Benutzern und Erweiterungen, welche mit einer sinkenden Nutzerzahlen von Joomla 1.0.x einhergehen, ein Beweggrund für diese Entscheidung.
Was passiert nun genau nach diesem Datum? Ab diesem Stichtag werden auch nach Bekanntwerden von Sicherheitslücken innerhalb von Joomla 1.0.x keine Updates mehr veröffentlicht. Zusätzlich dürfte spätestens ab diesem Tag nicht mehr großartig mit Hilfen zu Joomla 1.0.x gerechnet werden.
Es ist daher zu empfehlen, dass Sie sich langsam mit der Planung eines Umzugs auf die neueste Version 1.5 bzw. die kommende Version 1.6 befassen und diesen noch vor dem Ende der Unterstützung von Joomla 1.0.x vornehmen. Der Großteil der noch aktiv gepflegten Erweiterungen für Joomla ist bereits nativ für 1.5 verfügbar. Erweiterungen, welche nicht unter der aktuellen Version laufen, sollten durch andere aktiv gepflegte ersetzt werden.
Wir raten auf keinen Fall dazu, die Software noch deutlich über diesen Stichtag hinweg zu verwenden, da Sie dadurch Gefahr laufen, dass Ihre Webseite gekapert und/oder zerstört wird. Hinzukommt das sowohl die aktuelle Version als auch die, in der Entwicklung befindliche, Version 1.6 wesentlich mehr Funktionalitäten aufweisen als die alte Version 1.0.x. Neue Webpräsenzen oder Webseitteile sollten nur noch mit der aktuellen Version 1.5 geplant und umgesetzt werden.
Falls Sie Hilfe benötigen bei dem Umzug von Joomla 1.0.x auf 1.5 oder 1.6 stehen wir Ihnen gerne zur Seite.

Link zum original Beitrag.

Seit dem 23. Oktober steht WordPress 2.6.3 zum Download bereit. Mit dieser Version wird eine Sicherheitslücke eines verwendeten Fremdpaketes behoben, welche es unter Umständen ermöglicht, beliebigen Shellcode mit den Rechten des aktuellen Prozesses, in diesem Fall Apache oder PHP, auszuführen. Auch wenn die WordPress Entwickler das Risiko für ihre Anwendung als gering empfinden, haben wir uns dazu entschlossen für alle vorhandenen WordPress Versionen das minimalistische Update, bestehend aus den Dateien wp-includes/version.php und wp-includes/class-snoopy.php, einzuspielen, um keine unnötigen Risiken einzugehen. Es ist uns nicht bekannt, inwieweit die komplette Version 2.6.3 zusätzliche Bugfixes enthält, jedoch sahen wir Aufgrund der recht kurzfristigen Veröffentlichung ein minimales Update als beste Lösung für ein optimal funktionierendes WordPress an.
Bei Fragen und Problemen stehen wir Ihnen wie immer gerne zur Seite.

Mit der aktuellen WordPress Version des Zweiges 2.6, wird ein Sicherheitsrisiko geschlossen. Bei diesem ist es möglich, mittels Registration eines speziell präparierten Benutzernamens, dass WordPress das Passwort des angegriffenen Benutzers zurücksetzt. Durch eine weitere Schwäche ist es jedoch wesentlich einfacher als gewünscht das neu gesetzte Passwort herauszufinden. Ein Angreifer kann dadurch die Kontrolle über den Blog erlangen, jedoch ist der Angriff trotz allem recht aufwendig vorzunehmen.

Im Detail:Durch eine Schwäche innerhalb von MySQL mit Standard Einstellungen werden längenbegrenzte Felder bei Überlänge einfach abgeschnitten und danach nicht binär, sondern mit weniger strengen Regeln verglichen, bei diesen werden endständige Leerzeichen einfach entfernt. Wenn nun ein neuer Benutzer mit dem Namen admin[55xLeerzeichen]x registriert wird, ist dieser Name ein Zeichen zu lang für das Namensfeld, das letzte Zeichen wird abgeschnitten, die Leerzeichen ignoriert und einfach das Passwort von admin zurückgesetzt. Durch die zusätzlich vorhandene schwache Generation von Zufallszahlen ist es dann möglich das neue Passwort mit kleinerem bis geringen Aufwand zu erlangen. Dieses MySQL Problem könnte bei weitem schwerer wiegen und sofort ausnutzbar sein, sobald das Namensfeld nicht als einmalig(unique) deklariert ist und je nach Programmierung der Webanwendung wäre es sogar ohne weiteres möglich sich in den admin Account einzuloggen. Da wir das nicht ausschließen können, empfehlen wir Ihnen bei bedenken über die Sicherheit Ihrer Software beim Hersteller nachzufragen, in wieweit das Produkt davon betroffen ist. Wer gerne noch mehr Hintergrund Informationen zu den Sicherheitslücken erfahren möchte, kann dies auf der Seite des Autors tun, allerdings sind die Artikel in Englisch.

• Stefan Esser:MySQL and SQL Column Truncation Vulnerabilities
• Stefan Esser:mt_srand and not so random numbers

Neben der Behebung dieser Sicherheitsprobleme wurden auch einige weitere Bugs in dieser Version von WordPress behoben darunter befinden sich:

• Ein Fehler bei dem Import von Textpattern Einträgen, wurde behoben
• Es ist jetzt möglich das Plugins bei Dem Login Redirect auf gesonderte Seiten weiterleiten, je nach Benutzer
• und einige andere

Aufgrund Sicherheitsprobleme, welche mit der Version 2.6.2 behoben werden, und dem Fakt das diese auch in älteren WordPress Versionen bestehen, raten wir dringend dazu ein Update auf diese Version vorzunehmen. Auch wenn keine Registrationen erlaubt sein sollten auf Ihrer Website, raten wir Ihnen zu dem Update, da es einige Berichte gibt wonach obwohl deaktiviert, neue Benutzer angelegt wurden von Fremden. Der Download kann von wie gewohnt von der offiziellen Website vorgenommen werden.

Seit dem 9. September steht die aktuelle Version von Joomla! 1.5 zum Download bereit. Mit der aktuellen Version werden 4 sicherheitskritische Fehler im Programm behoben, von diesen Fehlern wird einer als kritisch, ein weiterer als schwerwiegend und die anderen beiden als moderat eingestuft.
Folgend die Auflistung der einzelnen Sicherheitsrelevanten Fehler:

• kritisch: Ein Fehler in der Funktion JRequest ermöglicht es über JRequest:setVar Variablen zu setzen, welche nicht bereinigt werden, dadurch ist es möglich Schadcode einzuführen
• schwerwiegend: Ein Fehler im Zufallszahlengenerator reduziert die Entropie dessen, dadurch werden Sicherheitsfunktionen des Systems, welche darauf beruhen, in Ihrer Wirkung geschwächt. Der neue Generator behebt dieses Problem und senkt deutlich die Chancen das Token erfolgreich geraten werden können
• moderat:Die Komponente com_mailto kontrolliert die Gültigkeit einer URL nicht bevor die Email gesendet wird, wir vermuten es ist dadurch möglich über eine betroffene Joomla! Seite Spam zu verschicken.
• moderat:Verschiedene Komponenten bieten die Möglichkeit eines Redirects ein, jedoch wird die übergebene URL nicht überprüft, somit ist es möglich auf externe Webseiten weitergeleitet zu werden. Mit der Version 1.5.7 wird eine neue Funktion geboten welche eine URL dementsprechend überprüft

Neben diesen Fehlern wurden auch 67 weitere Fehler behoben, folgend ein Auszug aus der Liste:

• Es fehlten bei Bildern die alt Attribute, welche alternativ angezeigt werden wenn das Bild nicht geladen wird(kann).
• RSS Feeds zeigen jetzt das korrekte Datum an, sowie auch korrekt Externe URLs
• Cache Probleme

Für eine vollständige Liste der Veränderung besuchen Sie bitte die offizielle Meldung.

Allen Benutzern von Joomla 1.5.x raten wir schnellst möglich auf die neueste Version zu updaten, da zumindest zwei der Sicherheitslücken nicht zu unterschätzen sind. Wie gewohnt steht auf der Downloadseite eine komplettes Archiv mit Joomla 1.5.7 zur Verfügung, sowie auch Inkrementelle Updates der Vorgängerversionen auf Joomla 1.5.7.

Mit der WordPress Version 2.6 halten viele neue Funktionen und Bedienungsverbesserungen Einzug in WordPress.
Besonders hervorhebenswert ist ein Versionierungssystem, welches es ermöglicht frühere Versionen eines Artikels zu betrachten, mit anderen Versionen zu vergleichen und gegebenenfalls sogar wiederherzustellen. Damit sind Missgeschicke wie aus versehen gelöschter Text in Zukunft kein Problem mehr. Bilder können jetzt ganz einfach aus WordPress heraus mit einem Untertitel bestückt werden. Templates können nun mittels einer Vorschau direkt im Blog betrachtet werden und bei gefallen gleich übernommen werden.
Um Ihren Blog zu beschleunigen, haben Sie jetzt die Möglichkeit viele der benötigten Dateien wie Bilder, CSS & JavaScript Dateien herunterzuladen, dadurch wird die ständige Übertragung dieser eingespart und Ihre Seite wird schneller.
Zusätzlich zu diesen doch recht großen Veränderungen gibt es noch einige kleine welche das Leben erleichtern, so sehen Sie jetzt beim Artikelverfassen wie viele Wörter bereits geschrieben wurden. Zusätzlich ist es jetzt möglich mehrere Checkboxen, z.B. bei den Plugins wie gewohnt zu selektieren, mit dem von PC bekannten Kommandos.

Die übliche Empfehlung, dass Sie mit Updaten warten sollten, entfällt diesmal da bereits ein erstes Update für WordPress 2.6 zur Verfügung steht. Nachfolgend ein kleiner Auszug aus dem Changelog der Version 2.6.1:

• 404 HTTP Fehler bei Seiten mit /index.php/%postname%/
• Behebung eines Fehlers für Schriften von Rechts nach Links in IE
• Bei den Versionen wird unter Umständen der falsche Benutzer angezeigt
• einige Schreibfehler wurden behoben(Englische Version)
• etliche andere Fehler wurden behoben

Der Download kann wie gewohnt von der offizielen Downloadseite bezogen werden.

Seit geraumer Zeit steht die 1.5.6 von Joomla zum Download bereit. Die einzige Neuerung zu dem Vorgängerpaket 1.5.5 besteht darin, dass eine Sicherheitslücke geschlossen wurde. Die Lücke ermöglichte es, aufgrund einer nicht korrekten Verarbeitung von Tokens während dem Passwortzurücksetzen, dass Angreifer das Passwort des ersten Benutzers (mit der niedrigsten ID) zurücksetzen und somit in Besitz dieses Accounts gelangen können. Da dieser Account zumeist der Admin Account ist kann ein Angreifer danach beliebig auf der betroffenen Webseite handeln. Allen Benutzern einer Joomla 1.5.x Version älter als 1.5.6 wird daher sehr nahe gelegt das Update auf diese Version so schnell wie möglich durchzuführen um das Sicherheitsloch zu schließen und Schaden abzuwenden.
Wie gewohnt stehen als Pakete ein kompletter Joomla 1.5.6 Install und Update Pakete von den einzelnen Versionen auf 1.5.6 bereit, zufinden wie immer auf der Joomla Download Seite.

Folgend noch ein kurzer Auszug aus dem Changelog von Joomla 1.5.5, welches wie bereits erwähnt mit Joomla 1.5.6, bis auf das behobene Sicherheitsproblem, identisch ist:

• Doppelter Seitentitel Bug behoben
• einige Verbesserungen von SEF Adressen
• Installationsfehler während Installation von Komponenten und Modulen wurden behoben
• diverse andere Fehler wurden behoben