Sicherheitslücke im CMS Drupal geschlossen

Das Drupal Security Team hat jetzt ein Update bereitgestellt, das eine kritische Sicherheitslücke schließt. Bisher konnten Angreifer darüber ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Befehle ausführen und auf diese Weise die Internetseite komplett übernehmen. Das CMS Drupal wird von mehreren bekannten Internetseiten benutzt, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan. Wer Drupal 7 installiert hat, sollte jetzt auch so schnell wie möglich das Core-Update einspielen. Wer den Core seines Drupal-Systems nicht kurzfristig austauschen kann, sollte wenigstens den Patch anwenden, der die problematische  Codezeile mit der Sicherheitslücke entschärft. Die ältere Version des CMS Drupal 6 ist von dem Problem nicht betroffen. Die Lücke steckt im  Datenbank-Layer, der erst mit Drupal 7 eingeführt wurde.

2014-10-16T23:52:23+02:00Oktober 16th, 2014|CSS, HTML, PHP|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal geschlossen
Weiterlesen

Ruby on Rails und die Cookies

Bei Zehntausenden von Internetseiten, die mit dem Web-Framework Ruby on Rails erstellt wurden, haben Angreifer über eine Sicherheitslücke durch Kopieren der Session-Cookies die Nutzerkonten übernommen. Darunter sind teilweise sehr bekannte Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Besonders einfach wird der Cookie-Klau, wenn der Angreifer im selben Netz ist wie das Opfer. Dummerweise können die Session-Daten beliebig lang genutzt werden, weil Rails die Cookies nicht ungültig macht. Das ist besonders dann sehr gefährlich, wenn die Seite ihre Authentifizierung nicht über eine sichere SSL-Verbindung  abwickelt. Zwar hat hat Rails die Version 4.0 der Komponente so umgestellt, dass die Cookies nur noch verschlüsselte Daten enthalten – das hilft aber nicht wirklich, weil sich Angreifer mit abgefangenen Cookies immer noch anmelden können. Wer Ruby-Seiten betreibt, sollte andere Möglichkeiten für Session-Cookies nutzen, beispielsweise durch eine Sessionverwaltung mit ActiveRecord::Store.

2013-11-29T17:47:08+02:00November 29th, 2013|Allgemein|Kommentare deaktiviert für Ruby on Rails und die Cookies
Weiterlesen

Schon wieder ein Notfall-Update für Adobes Flashplayer

Es ist erst zwei Wochen her, dass das letzte Update des Flash-Players durch den Programmhersteller Adobe herauskam. Wegen zwei gravierenden und aktiv genutzten Sicherheitslücken kommt gerade das dritte Update für Flash im Monat Februar! Und es kommt natürlich wieder mit eingebauter Werbung! Wenn Sie den Flash-Player manuell bei Adobe aktualisieren, achten Sie im eigenen Interesse bitte darauf, vor dem Download des Programms die Option zum Mitinstallieren des unnützen Zusatzprogramms McAfee Security Scan Plus zu deaktivieren.

2013-02-27T09:24:42+02:00Februar 27th, 2013|Allgemein|Kommentare deaktiviert für Schon wieder ein Notfall-Update für Adobes Flashplayer
Weiterlesen

Die Final-Version von Chrome 16 steht im Download

In dieser Woche hat Google die Final-Version seines Browsers Chrome 16 zum Download bereitgestellt. Der Browser kann jetzt mit mehreren Benutzerkonten gleichzeitig arbeiten, wobei jeder seine eigenen Bookmarks und Passwörter hat. Die Synchronisation zwischen den verschiedenen Instanzen der Benutzer wurde stark überarbeitet und funktioniert jetzt auch mit allen Einstellungen, Themes, installierten Apps und dem Verlauf der Omnibox. Diese Benutzer sind allerdings kaum voneinander abgeschottet, so dass das wohl eher mit unterschiedlichen Profilen eines Benutzers, zum Beispiel privat und dienstlich, genutzt werden wird. Die Benutzerverwaltung ist auch als Projektverwaltung für die Ersteller von komplexeren Internetseiten interessant, man kann damit für jedes Projekt gleich die richtigen Internetseiten öffnen und hat alle wichtigen Links und Passwörter für das aktuell bearbeitete Projekt direkt im Zugriff. Seitenersteller und Webdesigner sind gut beraten, sich die Funktionen einmal anzuschauen. Mit dem Update wurden auch 15 Sicherheitslücken geschlossen.

2011-12-15T12:16:59+02:00Dezember 15th, 2011|Allgemein|Kommentare deaktiviert für Die Final-Version von Chrome 16 steht im Download
Weiterlesen

Chrome Update: 6 gefährliche Sicherheitslücken geschlossen

Mit dem Update des Browser Chrome auf V 10.0.648.204 hat Google sechs Probleme beseitigt, die als sehr gefährlich eingestuft wurden. Es ging unter anderem um Fehler im Frame-Loader und in der HTML Collection und bei der CSS-Unterstützung. Google zahlte Prämien von insgesamt 8.500 $ an die Entdecker der Sicherheitslücken, wovon alleine 7.000 $ an Sergej Glazunow gingen, der vier der Schwachstellen gefunden hatte. Durch das Update werden auch die Performance und die Stabilität des Google-Browsers verbessert. Wer Chrome schon installiert hat, bekommt den Update über die automatische Update-Funktion von Chrome. Die aktuelle Version steht natürlich auch auf Google's Website bereit.

2011-03-28T08:37:22+02:00März 28th, 2011|Allgemein|Kommentare deaktiviert für Chrome Update: 6 gefährliche Sicherheitslücken geschlossen
Weiterlesen
Nach oben