Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung. BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen. Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat das Guzzle-Projekt ein Update veröffentlicht, dass zwar nicht den Drupal-Core betrifft, aber Auswirkungen auf beigesteuerte Projekte oder speziell angepassten Code von Drupal-Seiten haben könnte. Der Fehler in Drittherstellerbibliothek Guzzle Die Schwachstelle im Guzzle-Projekt bezeichnen die Entwickler als "Cross-Domain Cookie Leakage". Der Fehler ist eine fehlende Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es über den "Set-Cookie"-Header setzt. Dadurch könnte ein bösartiger Server auch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich dann ins Konto ein und könne so an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko "hoch"). In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung deshalb außerhalb des üblichen Zeitrahmens herausgegeben haben, weil das Guzzle-Projekt schon Informationen über die [...]

2022-05-31T17:15:10+02:00Mai 31st, 2022|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme
Weiterlesen

PHP und Symfony: Erste Hauptversion der Bibliothek Panther

Von der Version 0.1.0 bis Version 1.0 brauchte es zwei Jahre Entwicklungszeit, und endlich  liegt die Browser-Testing- und Web-Scraping-Bibliothek Panther in der ersten Hauptversion vor. Die Standalone-Bibliothek basiert auf der WebDriver W3C-Spezifikation und steht jetzt für alle Entwickler zur Nutzung mit PHP und Symfony bereit. Mit ihr lassen sich Webseiten scrappen und End-to-End-Tests mit Browsern durchführen. In Chrome und Firefox ist die native Unterstützung für Panther schon eingebaut. Die Browser Safari, Edge und Opera brauchen dazu noch eine zusätzliche Konfiguration. Die Software unterstützt auch Cloud-Testing-Anbieter wie zum Beispiel Sauce Labs und Browserstack. Integration mit JavaScript Bei Symfony arbeitet das Team an einer unkomplizierten JavaScript-Integration in das Framework. Dazu kommt Panther mit einer Implementierung für die BrowserKit-API, mit der man das Framework im Symfony-Umfeld einfacher nutzen kann. Deshalb lassen sich bestehende funktionale Tests mit Panther in einem Browser fast ohne Codeänderungen ausführen. Per JavaScript erweiterte Twig-Templates kann man beispielsweise mit dem Test-Framework PHPUnit testen. Panther startet automatisch einen Webserver, der die Anwendungen und Browsertreiber exportiert – es braucht also keinen Selenium Server. Danach verwendet Panther die PHP WebDriver-Bibliothek, um den Vorgang durchzuführen. Neue Flex Recipes und Assertionen In der neuen Version 1.0 erhält Panther eine neue Anweisung für Symfony Flex (Flex Recipe), welche die benötigte Konfiguration erzeugt. Mit [...]

2021-02-12T00:24:04+02:00Februar 12th, 2021|Browser, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für PHP und Symfony: Erste Hauptversion der Bibliothek Panther
Weiterlesen

Sicherheitsupdate für Krypto-Bibliothek Libgcrypt

Wegen einer Sicherheitslücke sollten Entwickler die Krypto-Bibliothek Libgcrypt in der aktuellen Version 1.9.0 jetzt besser nicht mehr einsetzen. In seiner Ankündigung warnt der Programmierer Werner Koch vor dem Einsatz dieser verwundbaren Version. Die Bibliothek Libgcrypt wird zum Beispiel bei GnuPG benutzt. Eigentlich ist die Ausgabe 1.9.0 vom 19. Januar 2021 ja noch ziemlich frisch und kommt deshalb auch zum Glück noch nicht flächendeckend zum Einsatz. Laut Koch ist die Krypto-Bibliothek aber aktuell schon in Fedora 34 und Gentoo verfügbar. Werner Koch warnt vor einem "schweren Fehler" in der Software. Nähere Angaben zu der Sicherheitslücke machte er aber zunächst noch nicht. Gestern verkündete Werner Koch in einem Sicherheits-Advisory  die Verfügbarkeit der neuen Version Libgcrypt 1.9.1, die einen "kritischen Security-Bug" beseitigt. Nach der Beschreibung hat der Sicherheitsforscher Tavis Ormandy einen möglichen Pufferüberlauf auf dem Heap in der Software entdeckt. Der lässt sich relativ einfach dafür ausnutzen, Code einzuschleusen und auszuführen zu lassen. Dazu reicht es aus, dass die betroffene Bibliothek Daten eines Angreifers entschlüsselt. Wer noch Libgcrypt 1.9.0 einsetzt, sollte deshalb dringend einen Update auf die neue Version durchführen.

2021-01-30T12:11:32+02:00Januar 30th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für Krypto-Bibliothek Libgcrypt
Weiterlesen

Update für Drupal macht Archiv-Uploads sicher

In einer der Bibliotheken, die das beliebte CMS Drupal einsetzt, steckt ein Fehler und gefährdet Internetseiten mit bestimmten Einstellungen der Konfiguration. Inzwischen sind aber schon Sicherheitsupdates verfügbar. Es gibt aber auch einen Workaround, über den die Admins die Seiten auch einen gegen solche Angriffe schützen können. Die in der Warnmeldung der Entwickler als „kritisch“ bezeichnete Lücke (CVE-2020-36193) steckt in der pear-Archive_Tar-Bibliothek. Diese Library kümmert sich um die Verarbeitung von komprimierten Archiven wie zum Beispiel .tar. War ein Angriff erfolgreich, dann könnten Angreifer schreibend auf den Internetserver zugreifen (Directory Traversal). Workaround: Upload von Archiven verbieten Allerdings sind nur Seiten bedroht, bei denen der Upload solcher Dateien erlaubt ist. Wenn die Admins diese Funktion deaktivieren, ist die Gefahr erst einmal gebannt. Besser wäre es aber, jetzt eine der abgesicherten Versionen 7.78, 8.9.13, 9.0.11 oder 9.1.3 zu installieren. Die Drupal-Entwickler weisen auch darauf hin, dass der Support für älter Versionen als 8.9.x inzwischen ausgelaufen ist und dass diese veralteten Versionen keine Sicherheitsupdates mehr bekommen.

2021-01-22T10:26:51+02:00Januar 22nd, 2021|CMS, Sicherheit|Kommentare deaktiviert für Update für Drupal macht Archiv-Uploads sicher
Weiterlesen

Brunsli reduziert JPEGs verlustfrei um 22 Prozent

Durch die Übertragung von großen Bildern im Web wird immer noch der meiste Netzwerkverkehr auf Internetseiten erzeugt -  nur Videos fressen noch mehr Bandbreite. Die Brunsli-Bibliothek Deshalb arbeiten Entwickler von Google an dem Encoding-Format Brunsli. Die Entwickler beschreiben ihr Projekt als eine Bibliothek, mit der man JPEG-Dateien neu packen kann, so dass diese damit vor allem kleiner werden. Brunsli schafft dabei eine Komprimierung der JPEG-Dateien um bis zu 22 Prozent, die dazu auch noch verlustfrei realisiert wird. Im Klartext heißt das, beim Decoding der entsprechenden Dateien können sie Byte für Byte wiederhergestellt werden. So liest man es auch auf der Github-Seite des Projekts. Dem Code zufolge basiert Brunsli offensichtlich zu Teilen auf den Encoding-Techniken von Brotli. Brunsli als Teil von JPEG XL Gleichzeitig ist das neue Encoding-Format von Brunsli auch Teil von JPEG XL, einem Nachfolgestandard für das bekannte und seit Jahrzehnten bewährte JPEG, das aber deutlich besser komprimieren soll als sein Vorgänger. Nach Angaben von Google hat die verlustfreie Komprimierung von Brunsli vor allem auch den Vorteil, dass Webserver damit nur noch eine JPEG-XL-Datei vorrätig halten müssen, die sie dann sowohl als JPEG XL als auch als JPEG an aufrufende Clients verteilen können. Bereit für Usertests Um Brunsli testen zu können, stellt Google eine kleine Demo-Seite bereit, die hochgeladene [...]

2020-03-02T22:27:26+02:00März 2nd, 2020|Bildbearbeitung, Coding, Javascript, Webwerkzeuge|Kommentare deaktiviert für Brunsli reduziert JPEGs verlustfrei um 22 Prozent
Weiterlesen

Scriptsprache Ruby 2.5.0 verfügbar

Traditionell erscheinen größere neue Releases des Ruby-Projekts zwischen den Jahren. Und rechtzeitig vor dem gerade gelaufenen Jahreswechsel haben die Entwickler mit Ruby 2.5.0 die erste stabile Version in der 2.5er-Serie der Sprache vorgestellt. Außer Performance-Verbesserungen bringt die neue Version der Skriptsprache auch einige neue Features mit. Dazu gehört unter anderem zum Beispiel die Unterstützung für Codeverzweigungs- und Methodenanalysen, um Entwicklern mehr Überblick der Testabdeckung ihrer Programme zu bringen. Das erweitert die Ergebnisse einer Testsuite um Informationen zu den logischen Zweigen in dem Code, die ausgeführt wurden und zeigt auch die dabei ausgeführten Methoden. Entfernt haben die Entwickler aus ihrer Sicht unnötigen Ballast, wie zum Beispiel den trace-Befehl, der für die Unterstützung der TracePoint-API nötig war. Da die API jedoch so gut wie gar nicht genutzt wurde, hat das Entwickler-Team sämtliche trace-Befehle aus dem Bytecode (instruction sequences) entfernt und durch dynamische Hook Points ersetzt. Das soll zusammen mit einigen weiteren optimierten Methoden zu einer Verbesserung der Performance von bis zu 10 Prozent führen. Weitere Neuerungen Die häufig genutzte Bibliothek pp.rb  wird in Ruby 2.5 jetzt automatisch geladen, der Befehl require "pp" ist nicht mehr nötig. Außerdem können die mit Struct.new erzeugten Klassen jetzt auch unmittelbar mit Schlüsselwortargumenten (keyword arguments) umgehen. Ausgabe von Backtraces und Fehlermeldungen erfolgen jetzt in umgekehrter Reihenfolge, so dass der aktuellste Aufruf [...]

2018-01-27T21:12:47+02:00Januar 4th, 2018|Coding, Webwerkzeuge|Kommentare deaktiviert für Scriptsprache Ruby 2.5.0 verfügbar
Weiterlesen

Sicherheitsupdates für aktive PHP-Versionen

Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar. Angreifer können diese Installationen aus der Ferne attackieren, Speicherfehler auslösen und dann eigenen Code auf diese Systeme übertragen und ausführen. Diese zwei Schwachstellen wurden in den jetzt zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die dazugehörigen Windows-Binaries finden Sie auf dieser Webseite. Sicherheitslücken und Exploits Die Sicherheitslücke CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Nutzen die Angreifer diese Schwachstelle aus, dann können sie über ein dafür präpariertes Zip-Archiv einen Speicherfehler hervorrufen und dann eigenen Code auf dem Rechner ausführen. Die zweite Schwachstelle mit der Kennung CVE-2016-3074 steckt in der Bild-Bibliothek libgd 2.1.1, die seit PHP 4.3 bei der Default-Installation standardmäßig auf den Rechner kommt. Um über diese Schwachstelle einen Speicherfehler auszulösen, müssen die Angreifer dem Opfer komprimierte gd2-Daten unterjubeln. Danach können sie das System entweder crashen oder darauf sogar Schadcode ausführen. Das Ende von PHP 5.5 Achtung: Bei dieser Gelegenheit möchte ich darauf hinweisen, daß der Support der Entwickler für die PHP-Version 5.5 schon am 10. Juli 2015 endete. Sicherheitsupdates gibt es für PHP 5.5 jetzt noch bis zum 10. Juli 2016 – in 2 Monaten sollte man also im eigenen Interesse auf die neueren Zweige 5.6 (Sicherheitsupdates bis 28. August 2017) oder noch besser auf PHP 7.0 (aktuellste Version) upgraden.

2016-05-04T10:08:46+02:00Mai 4th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdates für aktive PHP-Versionen
Weiterlesen

Schwerwiegende Sicherheitslücke in Linux-Systemen

Administratoren von Linux-Systemen haben jetzt eine Sorge mehr: Mit gezielten DNS-Antworten lässt sich nämlich unter Umständen die Namensauflösung der Glibc-Bibliothek dazu mißbrauchen, unauthorisiert fremden Code auszuführen. Glibc ist die normalerweise auf Linux-Systemen genutzte Standard-C-Bibliothek. Zu dem Problem schreibt das Sicherheitsteam von Google, dass es die Lücke eher zufällig gefunden habe, weil der SSH-Client eines Entwicklers des Konzerns mehrfach abgestürzt sei, wenn er versucht habe, sich mit einem bestimmten Host zu verbinden. Die genauere Analyse habe dann ergeben, dass der Fehler nicht etwa wie zunächst vermutet in SSH, sondern in der Glibc-Bibliothek des Systems aufgetreten sei. Dann stellten die Google-Entwickler fest, daß der Fehler im Bugtracker der Glibc schon eingetragen war, allerdings ging daraus nicht hervor, dass es sich um eine kritische Lücke handelte. Weitere technische Details zu diesem ernsten Linux-Problem finden Sie bei Golem.

2016-02-17T11:10:10+02:00Februar 17th, 2016|Allgemein|Kommentare deaktiviert für Schwerwiegende Sicherheitslücke in Linux-Systemen
Weiterlesen

Das neue jQuery 2.0 arbeitet nur mit modernen Browsern

Die gerade erschienene Version 2.0 der Java-Bibliothek jQuery wurde deutlich abgespeckt, weil die für ältere Browser wie den Internet Explorer 8, 7 und 6 von Microsoft nötigen Code-Teile herausgenommen wurden. Das macht jQuery 2.0 schlanker und schneller. Die neue Version der Bibliothek ist besonders für moderne Webanwendungen und mobile Geräte gedacht, und da spielen diese alten Browser keine Rolle mehr bzw. haben sie nie gespielt, so dass man als Entwickler von Internetseiten damit keine Probleme hat und sich über die so hinzugewonnene Performance freuen kann. Die alten IE-Versionen lassen sich dabei zwar weiter über die sogenannten Conditional Comments nutzen, empfohlen wird aber, dass Entwickler, die auch weiterhin IE 6, 7 und 8 bedienen wollen, besser jQuery 1.x nutzen sollen. Aber Vorsicht: Die Versionen 9 und 10 des IE werden dann nicht unterstützt, wenn sie im Modus "Compatibility View" sind. Deshalb wird jQuery 1.x wohl noch einige Zeit weiter betrieben.

2013-04-19T16:17:01+02:00April 19th, 2013|Javascript|Kommentare deaktiviert für Das neue jQuery 2.0 arbeitet nur mit modernen Browsern
Weiterlesen
Nach oben