PhHosting

Mit der Version 1.5.8 von Joomla steht ein neues Sicherheits- & Bugfixupdate für Joomla 1.5 bereit. Das Update behebt zwei moderate Sicherheitsprobleme innerhalb von Joomla 1.5.
So war es per Voreinstellung möglich, das Benutzer mit dem Status Autor und höher in den Inhalt eines Artikels gefährliche HTML Tags einfügen konnten, wenn keine Filteroptionen gesetzt waren.
Durch die zweite Lücke war es ebenfalls möglich beliebigen HTML Code einzufügen diesmal innerhalb der Komponente com_weblinks, welche für Weblinks zuständig ist.
Beide Sicherheitslücken sind in der kompletten 1.5 Reihe bis einschließlich 1.5.7 vorhanden. Trotz der Tatsache, dass zur Ausnutzung der Lücken Benutzerkonten nötig sind, empfehlen wir ein rasches Update betroffener Versionen auf die aktuelle Version 1.5.8.
Neben den beiden Sicherheitslücken wurde auch eine Reihe weiterer Fehler behoben. Folgend ein kleiner Auszug:

• E-Mail Adressen werden korrekt verborgen wenn Sie Bereichs- und Kategoriebeschreibungen verwendet werden
• Beim Anmelden wird die ItemID korrekt beibehalten
• Gültiges xHTML im Suchformular
• Korrektes Löschen von Komponenten Verzeichnissen, beim entfernen von Komponenten
• Geschwindigkeitsverbesserung für Seiten mit vielen Menüeinträgen
• und viele mehr

Für eine komplette Liste besuchen Sie bitte den offizielen Veröffentlichungsbeitrag. Insgesamt wurden 71 Fehler behoben. Wie gewohnt stehen wir Ihnen gerne beim Update zur Seite.

Seit dem 23. Oktober steht WordPress 2.6.3 zum Download bereit. Mit dieser Version wird eine Sicherheitslücke eines verwendeten Fremdpaketes behoben, welche es unter Umständen ermöglicht, beliebigen Shellcode mit den Rechten des aktuellen Prozesses, in diesem Fall Apache oder PHP, auszuführen. Auch wenn die WordPress Entwickler das Risiko für ihre Anwendung als gering empfinden, haben wir uns dazu entschlossen für alle vorhandenen WordPress Versionen das minimalistische Update, bestehend aus den Dateien wp-includes/version.php und wp-includes/class-snoopy.php, einzuspielen, um keine unnötigen Risiken einzugehen. Es ist uns nicht bekannt, inwieweit die komplette Version 2.6.3 zusätzliche Bugfixes enthält, jedoch sahen wir Aufgrund der recht kurzfristigen Veröffentlichung ein minimales Update als beste Lösung für ein optimal funktionierendes WordPress an.
Bei Fragen und Problemen stehen wir Ihnen wie immer gerne zur Seite.

Mit der aktuellen WordPress Version des Zweiges 2.6, wird ein Sicherheitsrisiko geschlossen. Bei diesem ist es möglich, mittels Registration eines speziell präparierten Benutzernamens, dass WordPress das Passwort des angegriffenen Benutzers zurücksetzt. Durch eine weitere Schwäche ist es jedoch wesentlich einfacher als gewünscht das neu gesetzte Passwort herauszufinden. Ein Angreifer kann dadurch die Kontrolle über den Blog erlangen, jedoch ist der Angriff trotz allem recht aufwendig vorzunehmen.

Im Detail:Durch eine Schwäche innerhalb von MySQL mit Standard Einstellungen werden längenbegrenzte Felder bei Überlänge einfach abgeschnitten und danach nicht binär, sondern mit weniger strengen Regeln verglichen, bei diesen werden endständige Leerzeichen einfach entfernt. Wenn nun ein neuer Benutzer mit dem Namen admin[55xLeerzeichen]x registriert wird, ist dieser Name ein Zeichen zu lang für das Namensfeld, das letzte Zeichen wird abgeschnitten, die Leerzeichen ignoriert und einfach das Passwort von admin zurückgesetzt. Durch die zusätzlich vorhandene schwache Generation von Zufallszahlen ist es dann möglich das neue Passwort mit kleinerem bis geringen Aufwand zu erlangen. Dieses MySQL Problem könnte bei weitem schwerer wiegen und sofort ausnutzbar sein, sobald das Namensfeld nicht als einmalig(unique) deklariert ist und je nach Programmierung der Webanwendung wäre es sogar ohne weiteres möglich sich in den admin Account einzuloggen. Da wir das nicht ausschließen können, empfehlen wir Ihnen bei bedenken über die Sicherheit Ihrer Software beim Hersteller nachzufragen, in wieweit das Produkt davon betroffen ist. Wer gerne noch mehr Hintergrund Informationen zu den Sicherheitslücken erfahren möchte, kann dies auf der Seite des Autors tun, allerdings sind die Artikel in Englisch.

• Stefan Esser:MySQL and SQL Column Truncation Vulnerabilities
• Stefan Esser:mt_srand and not so random numbers

Neben der Behebung dieser Sicherheitsprobleme wurden auch einige weitere Bugs in dieser Version von WordPress behoben darunter befinden sich:

• Ein Fehler bei dem Import von Textpattern Einträgen, wurde behoben
• Es ist jetzt möglich das Plugins bei Dem Login Redirect auf gesonderte Seiten weiterleiten, je nach Benutzer
• und einige andere

Aufgrund Sicherheitsprobleme, welche mit der Version 2.6.2 behoben werden, und dem Fakt das diese auch in älteren WordPress Versionen bestehen, raten wir dringend dazu ein Update auf diese Version vorzunehmen. Auch wenn keine Registrationen erlaubt sein sollten auf Ihrer Website, raten wir Ihnen zu dem Update, da es einige Berichte gibt wonach obwohl deaktiviert, neue Benutzer angelegt wurden von Fremden. Der Download kann von wie gewohnt von der offiziellen Website vorgenommen werden.

Seit dem 9. September steht die aktuelle Version von Joomla! 1.5 zum Download bereit. Mit der aktuellen Version werden 4 sicherheitskritische Fehler im Programm behoben, von diesen Fehlern wird einer als kritisch, ein weiterer als schwerwiegend und die anderen beiden als moderat eingestuft.
Folgend die Auflistung der einzelnen Sicherheitsrelevanten Fehler:

• kritisch: Ein Fehler in der Funktion JRequest ermöglicht es über JRequest:setVar Variablen zu setzen, welche nicht bereinigt werden, dadurch ist es möglich Schadcode einzuführen
• schwerwiegend: Ein Fehler im Zufallszahlengenerator reduziert die Entropie dessen, dadurch werden Sicherheitsfunktionen des Systems, welche darauf beruhen, in Ihrer Wirkung geschwächt. Der neue Generator behebt dieses Problem und senkt deutlich die Chancen das Token erfolgreich geraten werden können
• moderat:Die Komponente com_mailto kontrolliert die Gültigkeit einer URL nicht bevor die Email gesendet wird, wir vermuten es ist dadurch möglich über eine betroffene Joomla! Seite Spam zu verschicken.
• moderat:Verschiedene Komponenten bieten die Möglichkeit eines Redirects ein, jedoch wird die übergebene URL nicht überprüft, somit ist es möglich auf externe Webseiten weitergeleitet zu werden. Mit der Version 1.5.7 wird eine neue Funktion geboten welche eine URL dementsprechend überprüft

Neben diesen Fehlern wurden auch 67 weitere Fehler behoben, folgend ein Auszug aus der Liste:

• Es fehlten bei Bildern die alt Attribute, welche alternativ angezeigt werden wenn das Bild nicht geladen wird(kann).
• RSS Feeds zeigen jetzt das korrekte Datum an, sowie auch korrekt Externe URLs
• Cache Probleme

Für eine vollständige Liste der Veränderung besuchen Sie bitte die offizielle Meldung.

Allen Benutzern von Joomla 1.5.x raten wir schnellst möglich auf die neueste Version zu updaten, da zumindest zwei der Sicherheitslücken nicht zu unterschätzen sind. Wie gewohnt steht auf der Downloadseite eine komplettes Archiv mit Joomla 1.5.7 zur Verfügung, sowie auch Inkrementelle Updates der Vorgängerversionen auf Joomla 1.5.7.

Seit geraumer Zeit steht die 1.5.6 von Joomla zum Download bereit. Die einzige Neuerung zu dem Vorgängerpaket 1.5.5 besteht darin, dass eine Sicherheitslücke geschlossen wurde. Die Lücke ermöglichte es, aufgrund einer nicht korrekten Verarbeitung von Tokens während dem Passwortzurücksetzen, dass Angreifer das Passwort des ersten Benutzers (mit der niedrigsten ID) zurücksetzen und somit in Besitz dieses Accounts gelangen können. Da dieser Account zumeist der Admin Account ist kann ein Angreifer danach beliebig auf der betroffenen Webseite handeln. Allen Benutzern einer Joomla 1.5.x Version älter als 1.5.6 wird daher sehr nahe gelegt das Update auf diese Version so schnell wie möglich durchzuführen um das Sicherheitsloch zu schließen und Schaden abzuwenden.
Wie gewohnt stehen als Pakete ein kompletter Joomla 1.5.6 Install und Update Pakete von den einzelnen Versionen auf 1.5.6 bereit, zufinden wie immer auf der Joomla Download Seite.

Folgend noch ein kurzer Auszug aus dem Changelog von Joomla 1.5.5, welches wie bereits erwähnt mit Joomla 1.5.6, bis auf das behobene Sicherheitsproblem, identisch ist:

• Doppelter Seitentitel Bug behoben
• einige Verbesserungen von SEF Adressen
• Installationsfehler während Installation von Komponenten und Modulen wurden behoben
• diverse andere Fehler wurden behoben

Seit kurzem steht die neueste Version von Joomla 1.5 zur Verfügung. Es handelt sich um ein Bugfix und Security Update. Wir empfehlen jedem Benutzer innerhalb der nächsten Tage das Update vorzunehmen.
Folgend ein Auszug der Veränderungen in dieser Version:

• Komplette Cache Überarbeitung
• Suchkomponenten Fehler wurden behoben, darunter HTML Tags wurden als Ergebnisse mit geliefert
• Banner können nun Flashbanner sein

Folgende Sicherheitsprobleme wurden behoben:

• LDAP Bugfix, welcher verhindert das man unerlaubt Zugang zum Administratorbereich erhält
• Es ist nicht mehr möglich das unberechtige Besucher Zugang zu gecachten Seiten erhalten
• SEF URLs müssen nun auch zuerst durch einen allgemeinen htaccess Check hindurch auf bekannte Angriffsmuster überprüft
• Benutzer Redirect Spam wird verhindert

Alle Veränderungen sind in der offiziellen Mitteilung einsehbar.

Als Download stehen wie gewohnt mehrere Packages bereit, von den kompletten Joomla Installs bis hin zu den einzelnen Versionsupdates, mit den veränderten Dateien zwischen diesen beiden Versionen.

Seit gestern steht eine neue Version der beliebten Forensoftware phpBB 3 zum Download bereit. Hierbei handelt es sich primär um ein Bugfix release. Es wurden verschiedene Fehler behoben, die Performance an einigen Stellen verbessert und auch einige Stabilitätsverbesserungen vorgenommen. Nur eine sicherheitsbezogene Veränderung hat sich in dieses Package eingefunden. So nimmt die Funkton login_box() nur noch Adressen an, welche zuvor durch redirect() gegangen sind.
Folgend ein kleiner Auszug aus dem Changelog:

• Es ist nun Möglich Rechte(Permissions) zu setzen auch in Datenbanken verschieden MySQL
• Bei der Installation wird nun korrekt nach unzulässigen Datenbank Prefixen geprüft
• die HTTP Authentifizierung unterstützt nun auch UTF8 Benutzernamen
• Benutzernamen Wildcard Bans werden geblockt, da nicht unterstützt

Alle Veränderungen sind wie gewohnt auf der offizielen Seite einzusehen. Das Update steht als vollständiges Paket, plus den veränderten Dateien, PatchFile, automatisches Update und Codechanges auf der Downloadseite bereit.

Was ist:

Project Honey Pot?

Project Honey Pot ist ein Projekt der Unspam Technologies, Inc., welches es sich als Ziel gesetzt hat Informationen um Spammer zu sammeln und diese anschließend dafür zu verwenden, die Spammer zu verurteilen. Dazu wurde ein Honey Pot(Honig Topf) System entwickelt, welches die Daten an eine Datenbank schickt. Die einzelnen Honey Pots werden von den Teilnehmern, Webseitenbetreibern, auf Ihren Seiten installiert. Die Honey Pots sind nur durch spezielle Links zu erreichen, welche für den normalen Besucher unsichtbar sind und von standardkonformen Suchmaschinen(Crawlern) nicht beachtet werden sollten. Jedoch halten sich zumeist Email Harvester nicht daran und folgen diesen Links. Auf dieser Seite erhalten Sie dann eine einmalige Email Adresse. Dadurch ist es möglich nicht nur Harvester zu identifizieren, sondern auch die dazugehörigen Spamserver.

http:BL?

http:BL is ein Service des Project Honey Pot, welcher es Webseitenbetreibern ermöglicht verdächtige/bösartige IP Adressen aus Ihrer Seite auszusperren. Die nötigen Daten dafür werden aus der Project Honey Pot Datenbank gewonnen. Dazu überprüft das http:BL Modul mit einer Anfrage ob in der Datenbank von PHP ein Eintrag zu dieser IP Adresse vorliegt. Diese schickt wiederum eine Antwort zurück, aus welcher zu erkennen ist ob diese IP ungefährlich, verdächtig oder bereits negativ(als Email-Harvester(Sammler) oder Kommentar Spammer) aufgefallen ist.
Wenn letzteres der Fall ist erhält man zusätzlich Informationen wann diese Adresse das letzte mal aktiv war. Es ist ja gut möglich das der infizierte PC gesäubert wurde oder die IP Adresse neu vergeben wurde und somit wieder ungefährlich ist. Und wie bösartig diese IP-Adresse eingeschätzt wird, je höher der Wert, desto aktiver ist diese Adresse. Anhand dieser Daten ist es dann für den Betreiber möglich, zu entscheiden ob die Adresse blockiert werden soll oder freien Zugang zur Webseite erhält.

Persönlicher nutzen

Nun was ist Ihr persönlicher Nutzen? Wenn Sie eine http:BL Modul installieren (Es existieren etliche Portierungen für beliebte Systeme wie WordPress, Joomla 1.5 und phpBB, uvm), können Sie damit bösartige Besucher von vornherein aussperren und somit z.B. Ihre Emailadressen relativ gut vor Spam schützen, außerdem ist http:BL auch in der Lage Wörterbuch Attacken, welche dazu dienen Zugriff auf Benutzerkonten zu erlangen, in gewissen Rahmen zu be-/verhindern. Seit kurzem können dadurch auch Kommentar Spammer blockiert werden und Sie können somit eine enorme Erleichterung für Ihre Kommentarprüfung erhalten.

Wenn Sie einen Honey Pot installieren, können Sie dazu beitragen, dass die Liste aller Spammer vollständiger wird und somit auch http:BL effektiver wird. Zusätzlich tragen sie dazu bei, dass Spammer angeklagt werden können und sehr konkrete Anklageschriften verfasst werden können. Der Mehraufwand ist sehr gering und sollte die Einsparungen von http:BL an Traffic nicht aufwiegen.

Einrichtung von

Generell: Um an dem Projekt teilzunehmen, müssen Sie sich auf der Webseite von Project Honey Pot registrieren, diese ist kostenlos.

einem HoneyPot

Ein Honey Pot ist schnell eingerichtet auf der entsprechenden Seite müssen nur ein paar Informationen wie Scriptsprache des Honey Pots, Name der Datei und ein paar Einstellungen im Bezug auf die Verwendung getroffen werden. Danach kann man das Script herunterladen und auf seiner Webseite installieren. Dies umfasst das hochladen des Scriptes und dem setzen von Links zu diesen Script. Wie bereits erwähnt, dürfen die Links jedoch keine normalen sein, da sonst auch Suchmaschinen diese verfolgen würden oder gar Menschen. Auf Project Honey Pot erhalten Sie eine Liste von Links, welche zur Verwendung geeignet sind. Sie sollten nach Möglichkeit mehrere verschiedene Arten an unterschiedlichen Stellen Ihrer Webseite setzen.

http:BL

Laden Sie ein http:BL Modul für Ihre verwendete Webanwendung herunter und folgen Sie der Installationsanleitung um das Modul zu installieren und zu aktivieren. Danach müssen Sie das Modul konfigurieren. Dies umfasst zumeist wie die einzelnen Typen behandelt werden sollen, je nachdem wie lange diese nicht mehr aktiv waren, und deren Aggressivität. Sobald dies abgeschlossen ist, wird Ihre Webseite von den meisten Email Harvestern verschont. Und eine Erleichterung beim Traffic sollte zu spüren sein. Je nach Portierung stehen für die Kalibrierung mehr oder weniger Einstellungsmöglichkeiten zur Verfügung.

Zusätzliche Beiträge

Neben den bereits genannten Optionen für Ihren Beitrag zu Projekt Honey Pot, können Sie auch eine Subdomain spenden, welche dann für einmalige Email Adressen verwendet wird um Spammer zu beobachten. Sie können auch eine Anzahl an IPs beobachten lassen, um sicher zu stellen, dass diese nicht gekapert wurden und nun zum Spamversand missbraucht werden(dies schließt jedoch andere Arten von Missbrauch dieses Rechners mit nichten aus und ist auch dazu nicht in der Lage).

Zusammenfassung

Mit http:BL hat man eine effektive Möglichkeit unerwünschte Besucher auszusperren, zusätzlich seine Webpräsenz etwas zu entlasten und dies alles auf einer sehr verlässlichen Basis durch die riesige Datenbank. Somit sind fälschliche Blockaden relativ selten, vorrausgesetzt http:BL ist gut konfiguriert. Mit der Installation eines Honey Pots helfen Sie, Spammer ausfindig zu machen, bzw. deren Spuren besser zu verfolgen.
Abschließend kann man festhalten, dass es sehr zu empfehlen ist, in irgendeiner Weise auf Project Honey Pot zurückzugreifen, da man dadurch seine eigene Webpräsenz schützen hilft und auch dazu beiträgt, dass das Internet wieder ein besser Platz wird.

Falls Sie Probleme mit der Installation haben, kontaktieren Sie uns! Wir helfen Ihnen gern!

Seit gestern steht WordPress 2.5.1 zum Download bereit, die Entwickler raten allen Benutzern dringend das Update von 2.5 auf 2.5.1 so schnell wie möglich auszuführen, vor allem für Blogs mit freier Registrierung. Grund dafür sind 2 Sicherheitslücken innerhalb von WP 2.5, einer bisher nicht näher beschriebenen Sicherheitslücke und einer XSS Lücke, neben diesen beiden Lücken wurden über 70 weitere Bugs geschlossen. Für all diejenigen welche bloß die Sicherheitslücken schließen wollen, reicht es aus diese drei Dateien zu überschreiben:

• wp-includes/pluggable.php,
• wp-admin/includes/media.php,
• wp-admin/media.php

Alle anderen Benutzer sollten das vollständige Update durchführen. Da viele Performance- und Steuerungsverbesserungen Einzug halten in WP 2.5.1.

Der Download erfolgt wie gewohnt von der WP Seite, den original Eintrag finden Sie hier in englischer Sprache.

Schlussendlich noch ein Nachtrag zu den Sekret-Key Problem auf Grund des voreingestellten Keys und der damit verbunden Berechenbarkeit des Salts und einhergehend damit der manipulierbaren Cookies:
Von offizieller Seite wird jetzt eine Seite angeboten welche dem Besucher einen einmaligen nicht trivialen Key generiert und somit das Problem der berechenbaren Verschlüsselung verhindert.

Wie bereits vor wenigen Tagen bereits angedeutet, gibt es tatsächlich innerhalb der neuesten WordPress Version ein Sicherheitsproblem. Der mit WordPress 2.5 eingeführte Secret_Key(geheime Schlüssel) ist per se gar nicht so geheim wie er sein sollte. Wenn dieser nicht nach der Installation innerhalb der wp-config.php Datei im WordPress Hautpverzeichnis geändert wird, ist es immer ‘put your unique phrase here’. Dadurch ist es dann möglich das Salt in der Hash-generierung zu erhalten und somit die Verschlüsselung zu knacken. Folgend ist ein Angreifen dann in der Lage gefälschte Cookies für jeden beliebigen Benutzer Account zu fälschen und zu benutzen.

Wir raten daher dringend entsprechende Veränderungen in Ihrer WordPress Installation vorzunehmen, um die größtmögliche Sicherheit zu gewähren.