Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“

Das Plugin WP Fastest Cache verkürzt die Ladezeiten von Websites mit dem beliebten Content Management System (CMS) WordPress, bot aber Angriffsmöglichkeiten für Cross-Site-Scripting (XSS) und SQL Injection. Deshalb gibt es jetzt für die mehr als eine Million Nutzer des Cache-Plugins ein Update zum Download: WP Fastest Cache 0.9.5 entschärft die in allen früheren Versionen vorhandenen Sicherheitsprobleme. Wer das Plugin nutzt und noch nicht aktualisiert hat, sollte das jetzt möglichst bald nachholen. Die Entdecker der Sicherheitslücken stufen das Risiko als "hoch" bis "kritisch" ein. Die abgesicherte neue Version steht seit letzter Woche auf der Download-Site von WP Fastest Cache zum kostenlosen Download bereit. Zwei Wege zum unbefugten Zugriff In einem Blogeintrag der Firma Jetpack finden sich Details zu den beiden Schwachstellen, die interessanterweise ein und dieselbe CVE-ID (CVE-2021-24869), aber unterschiedliche Beschreibungen und CVSS-Scores (7.7/"High" bzw. 9.6/"Critical") haben. Der Score 7.7 bezieht sich auf eine SQL-Injection-Lücke, die aber nur unter bestimmten Voraussetzungen genutzt werden kann: Der Angreifer muss als "normaler" Nutzer angemeldet sein und in der angegriffenen WP-Installation muss gleichzeitig auch das Plugin "Classic Editor" installiert sein. Wenn diese Voraussetzungen vorliegen, ist das Abgreifen sensibler Daten wie etwa Nutzernamen in Kombination mit Passwort-Hashes möglich. Die zweite, mit 9.6 bewertete Angriffsmöglichkeit besteht auch ohne diese Einschränkungen, braucht dafür aber eine Nutzerinteraktion mit der Website: Im Rahmen eines sogenannten Cross-Site-Request-Forgery-Angriffs [...]

2021-10-19T07:08:12+02:00Oktober 19th, 2021|Coding, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“
Weiterlesen

Erweiterter Notfallpatch für Apache-Webserver

Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache. Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind. Lücke macht Remote Code Execution möglich Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen. Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus "require all denied" aktiviert, der vor solchen Angriffen schützen soll. In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als "unzureichend" bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an. Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben - eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen. Apache umgehend (noch einmal) patchen! Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend [...]

2021-10-08T10:56:30+02:00Oktober 8th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Erweiterter Notfallpatch für Apache-Webserver
Weiterlesen

Neu: Typo3 11.5 „Warp Speed“mit PHP 8 und LTS

Die neueste Version "Warp Speed" des CMS Typo3 soll jetzt schneller sein und auch einen Long Term Support (LTS) von drei Jahren bieten. Für Redakteure und Entwickler bringt das Open-Source-Tool Typo3 11.5 Neuerungen, die besonders in Sachen Geschwindigkeit beeindrucken sollen. Außerdem soll eine in das Backend integrierte Zwei-Faktor-Authentifizierung  für mehr Sicherheit sorgen. Mit dem Update werden auch zwei Sicherheitslücken geschlossen. Vereinfachte Links aus dem Backend In der neuen Version des CMS sollen Redakteure Links zu internen Seiten und Dateien über ein Symbol oben rechts im Backend einfacher teilen können. Dadurch kann zum Beispiel ein anderer Benutzer den geteilten Link anklicken und direkt beim Prüfen von Inhalten oder dem Bearbeiten von Aufgaben unterstützen. Bearbeitung von Dateilisten Die Dateiverwaltung im integrierten Digital Asset Management (DAM) von Typo3 wurde ebenfalls optimiert. Redakteure können jetzt die Metadaten von mehreren Dateien gleichzeitig einsehen und bearbeiten und erkennen dadurch, ob noch alternative Bildtexte oder ähnliche Daten fehlen. Es können jetzt auch mehrere Dateien zum Download ausgewählt und dann als ZIP-Datei heruntergeladen werden. Unterstützung für PHP 8 Typo3 11.5 unterstützt jetzt auch die Ende letzten Jahres erschienene aktuellste Version 8 der Programmiersprache PHP und auch die HTTP-Messaging-Spezifikation. Die Empfehlungen der PHP-Standards PSR-7 und PSR-17 wurden mit umgesetzt. Die Unterstützung für den PHP-basierten Dependency-Manager [...]

2021-10-07T16:29:47+02:00Oktober 7th, 2021|CMS, PHP, Webwerkzeuge|Kommentare deaktiviert für Neu: Typo3 11.5 „Warp Speed“mit PHP 8 und LTS
Weiterlesen

Sicherheitslücke in Confluence wird massiv ausgenutzt

Tausende Confluence-Server wurden immer noch nicht gepatcht. Das US-Cybercom warnt vor der Sicherheitslücke, die inzwischen schon massenhaft ausgenutzt wird. Die vor zwei Wochen gepatchte Sicherheitslücke in der Wiki-Software Confluence wird inzwischen massenhaft ausgenutzt, schreibt die US-Militärorganisation Cybercom in einer öffentlichen Warnung. Die Sicherheitslücke erlaube es, eigenen Code auf angegriffenen Servern auszuführen. "Die massenhafte Ausnutzung von Atlassian Confluence CVE-2021-26084 ist im Gange und wird voraussichtlich noch zunehmen. Bitte patchen Sie sofort, wenn Sie es noch nicht getan haben", teilte US Cybercom am Freitag vor dem Labor Day in einem Tweet mit. Der Confluence-Hersteller Atlassian hatte am 25. August einen Hinweis auf die Sicherheitslücke (CVE-2021-26084) veröffentlicht und sie mit den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 behoben. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, nicht die der Cloud-Variante. Atlassian selbst nennt die Sicherheitslücke "kritisch". Das Problem steckte in der OGNL-Implementierung Bei der Schwachstelle handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass letztlich beliebiger Code auf dem attackierten Server ausgeführt werden kann. Meist ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, aber in Ausnahmefällen gibt es diese Einschränkung nicht. Deshalb hatten mehrere Sicherheitsforscher einen Proof-of-Concept-Code veröffentlicht, der zeigt, wie die Sicherheitslücke ausgenutzt werden kann. "Am 31. August identifizierte Censys 13.596 verwundbare Confluence-Instanzen, während diese Zahl [...]

2021-09-07T08:18:02+02:00September 7th, 2021|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücke in Confluence wird massiv ausgenutzt
Weiterlesen

Update gegen kritische Sicherheitslücke im Wiki Confluence

Wer auf seiner Homepage die Wiki-Software Confluence von Atlassian selbst hostet, sollte jetzt dringend ein Update einspielen, denn in der Wiki-Software wurde eine Sicherheitslücke gefunden, die es Angreifern gestattet, eigenen Code auf den Servern auszuführen. Patches und Updates stehen bereit Der Hersteller Atlassian stellt für mehrere Versionen Patches und Updates bereit. Es sind aber nur die Nutzer von selbst gehosteten Confluence-Servern betroffen, die Cloud-Variante weist die Sicherheitslücke nicht auf. Die Lücke wurde in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 geschlossen. Atlassian empfiehlt zwar den Einsatz der aktuellen Long-Time-Support-Version 7.13.0-, weiß aber auch, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist. Manche Unternehmen können auch im Betrieb befindliche Software nicht sofort mit einem Update härten. Deshalb gibt es als Übergangslösung vom Hersteller ein Script, dass von Admins genutzt werden kann, um die Lücke zunächst einmal schnell temporär zu schließen. Details dazu finden Sie auf Atlassians Seite zu dem Bug. Die Sicherheitslücke steckt in der OGNL-Implementierung Bei der Sicherheitlücke ist letztlich ein Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. Zwar ist in den meisten Fällen zur Ausnutzung der Lücke eine Authentifizierung nötig, aber in Ausnahmefällen gibt es diese Einschränkung nicht. Die Lücke [...]

2021-08-26T17:32:29+02:00August 26th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Update gegen kritische Sicherheitslücke im Wiki Confluence
Weiterlesen

Thunderbird 91 wechselt auf eine Multiprozessarchitektur

Die Entwickler von Thunderbird haben Version 91 ihres freien E-Mail-Clients veröffentlicht. Der Mailer basiert auf Firefox 91, und Thunderbird nutzt jetzt auch die seit Jahren in dem Browser erprobte Multiprozessarchitektur mit dem Codenamen Electrolysis (e10s). Auf längere Sicht könnten damit bessere Sicherheits-Techniken auch im Thunderbird umgesetzt werden, beispielsweise eine striktere Isolierung der Inhalte. Die Neuerungen von Thunderbird 91 im Detail Auch an der Oberfläche hat das Team einige Änderungen vorgenommen. Hier gibt es ein neues UI zum Hinzufügen von Anhängen an Emails. In der grafischen Oberfläche kann jetzt auch leicht die Reihenfolge der einzelnen Accounts geändert werden. Unterstützt wird nun auch die Darstellung von Nicht-Ascii-Zeichen in einer Empfänger-Adresse. Durch das aus Firefox übernommenen PDF.js kann Thunderbird außerdem auch PDFs darstellen. Auch der integrierte Kalender, der nun standardmäßig CalDAV nutzt, sofern dies unterstützt wird, wurde angepasst. Kalender sollen außerdem automatisch erkannt werden und Thunderbird das Öffnen einer .ics-Datei im Kalender mit einem Doppelklick unterstützen. Auch Benachrichtigungen lassen sich pro Kalender konfigurieren. Beim Einrichten von GMail-Accounts werden jetzt auch Kalender und Adressbuch des Anbieters automatisch hinzugefügt. Thunderbird unterstützt nun auch das Protokoll CardDAV für Adressbücher. Ganz neu gecodet haben die Entwickler das Backend zum Versenden von Nachrichten, SMTP und LDAP. Diese nutzen jetzt auch Javascript. Die aufgezählten Techniken nutzen jetzt intern [...]

2021-08-13T08:56:21+02:00August 13th, 2021|Coding, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 91 wechselt auf eine Multiprozessarchitektur
Weiterlesen

Ein neues Snipping-Tool für Windows

Wer auch laufend Inhalte wie News oder Blogartikel für seine Homepage unter Windows erstellt, für den ist das Snipping-Tool des Betriebssystems schon seit einigen Jahren ein kleiner, aber wichtiger Teil von Windows dass sich für schnelle Screenshots optimal eignet. Gerade hat Microsofts Chief Product Officer Panos Panay in einem Tweet das neue Snipping-Tool vorgestellt, das Insider schon ab Ende August oder Anfang September testen dürfen. Der offizielle Clip zu dem überarbeiteten Windows-Werkzeug ist noch nicht einmal 20 Sekunden lang, weshalb nicht viel von dem neuen Tool zu sehen ist. Es gibt nur einen kurzen Hinweis darauf, dass sich darin einiges geändert hat. Die Grundfunktion des Tools bleibt aber wohl gleich: Mit dem Snipping-Werkzeug lassen sich beliebige Bereiche oder das gerade markierte Fenster ausschneiden und als Bilddatei abspeichern. Umfang der Neuerungen ist schwer zu erkennen Es gibt aber trotz der dünnen Informationslage schon Kritik unter dem Video. So ist nicht klar zu erkennen, ob sich an der Funktionalität wirklich viel verändert hat. In der noch aktuellen Version des Tools vermissen die Benutzer vor allem die Möglichkeit, Boxen, Kreise oder Text hinzuzufügen, um so wichtige Details in einem erzeugten Screenshot zu markieren oder herauszustellen. In dem Clip sieht man aber nur Möglichkeiten, das Bild zuzuschneiden und per Stift [...]

2021-08-05T16:36:25+02:00August 5th, 2021|Bildbearbeitung, Webwerkzeuge|Kommentare deaktiviert für Ein neues Snipping-Tool für Windows
Weiterlesen

Seit 2019 20 Prozent weniger Firefox-User

Mozillas Browser Firefox verliert offenbar weiter massiv an Nutzern. Das bestätigen auch die dazu öffentlich einsehbaren Statistiken des Herstellers hervor, auf die ein Thread bei Hacker News verweist. Nach den Zahlen hatte der Browser noch Anfang des Jahres 2019 rund 250 Millionen aktive Nutzer pro Monat, die inzwischen auf nur noch rund 200 Millionen zurückgegangen sind - mit einer weiter abwärts gerichteten Tendenz. Damit hat Firefox, der früher dominierende Browser, in nur zweieinhalb Jahren schon etwa 20 Prozent seiner gesamten aktiven Nutzer verloren. Allerdings haben die verbliebenen Nutzer im selben Zeitraum wohl täglich mehr Zeit mit dem Firefox verbracht, was vermutlich mit der Covid-19-Pandemie sowie der damit vermehrt auftretenden Homeoffice-Arbeit zusammenhängen dürfte. Setzt sich der Trend mit fallenden Nutzerzahlen aber weiter so deutlich fort wie bisher, könnte der Hersteller des Firefox, Mozilla, in immer größere Bedrängnis kommen, für den Browser ein wirtschaftliches Finanzierungsmodell zu realisieren. Mozilla steht wirtschaftlich unter Druck Schließlich stammt ein deutlicher Anteil der Einnahmen von Mozilla immer noch aus Verträgen mit Suchmaschinenanbietern für einen Platz im Browser. Und je weniger Nutzer der Browser weltweit hat, umso weniger Erlöse bringt dieser Platz ein. In allen Geschäftsberichten der letzten Jahre verweist Mozilla mit Blick auf die Zahlen immer wieder auf das hohe Risiko der Konzentration seiner Einnahmen. Zunächst [...]

2021-08-03T08:49:33+02:00August 3rd, 2021|Browser, Webwerkzeuge|Kommentare deaktiviert für Seit 2019 20 Prozent weniger Firefox-User
Weiterlesen

Datenbank MongoDB 5.0 veröffentlicht

Bei seiner alljährlichen Konferenz MongoDB.live hat MongoDB Inc., , die Version 5.0 der gleichnamigen dokumentorientierten NoSQL-Datenbank und weitere Neuerungen im Bereich des Multi-Cloud-DBaaS-Dienstes (Database as a Service) MongoDB Atlas vorgestellt. MongoDB 5.0 mit versionierter API, nativen Zeitreihen und Live-Resharding Die Entwickler dürften sich besonders über die versionierte API, die nativen Zeitreihen und die Funktion Live-Resharding freuen. Alle Datenbankfeatures stehen ihnen außerdem in Zukunft auch im Rahmen einer Preview von MongoDB Atlas in Serverless-Instanzen zur Verfügung. DB-Updates ohne große Änderungen des Anwendungscodes Normalerweise ist das Application Lifecycle Management (ALM) eng mit dem Verwalten der Datenbank verknüpft. Mit der neuen versionierten API gibt MongoDB 5.0 den Entwicklern die Möglichkeit, beides voneinander zu entkoppeln. In Zukunft lassen sich dadurch Datenbank-Upgrades durchführen, ohne größere Änderungen für den Anwendungscode befürchten zu müssen. Zu dem Zweck definiert die versionierte API eine Zusammenstellung häufig verwendeter Befehle und Parameter, die auch bei Major Releases der DB unverändert bleiben. Idealerweise muss der Code einer Anwendung deshalb über Jahre hinweg nicht mehran neue MongoDB-Versionen angepasst werden.

2021-07-13T16:59:23+02:00Juli 13th, 2021|Coding, MySQL, Webwerkzeuge|Kommentare deaktiviert für Datenbank MongoDB 5.0 veröffentlicht
Weiterlesen

Microsoft SQL Server für Windows Container eingestellt

Anstelle der eigenen Server Container unter Windows empfiehlt Microsoft jetzt stattdessen die Nutzung von Linux-Maschinen für den SQL Server - eines der wichtigsten Produkte des Softwareherstellers. Microsoft hat seine Betaphase für die Nutzung des SQL Servers in den Windows Server Containern "mit sofortiger Wirkung" beendet, teilte jetzt der dafür zuständige Senior Program Manager Amit Khandelwal in einer relativ kurzen und etwas versteckten Nachricht im Techcommunity-Forum von Microsoft mit. Die Betatests im Rahmen des Beta-Programms haben schon im Jahr 2017 begonnen. Das Aus kam nach vier Jahren Seitdem sei das Programm allerdings immer im Beta-Modus geblieben, "das bisher nur für Test- und Entwicklungsumgebungen gedacht war", liest man dort. Als Grund für das Ende des Testprogramms gab der Manager an: "Wegen der bestehenden Herausforderungen und Nutzungsmuster im Ökosystem haben wir entschieden, das Betaprogramm von SQL Server in Windows Containern auf absehbare Zeit auszusetzen." Microsoft will aber die Situation weiter beobachten und seine Entscheidung noch einmal überdenken, sollte sich etwas an dem Ökosystem ändern – was ab er nicht wirklich zu erwarten ist. Deshalb bekräftigte Microsoft wohl auch, dass die Nutzung des SQL Servers unter Linux weiter aktiv in Produktivumgebungen unterstützt werden soll. Microsoft gibt Wettstreit um Containersysteme auf Mit dem SQL Server wird eines von Microsofts wichtigsten Produkten für die Anwendungsentwicklung (zumindest teilweise) [...]

2021-07-07T18:55:33+02:00Juli 7th, 2021|Coding, Webwerkzeuge|Kommentare deaktiviert für Microsoft SQL Server für Windows Container eingestellt
Weiterlesen
Nach oben