Das PHP-Projekt-Team hat mit dem Update auf PHP 5.3.2 und mit dem Update auf PHP 5.2.13 zahlreiche Fehler und einige Sicherheitslücken behoben. Näheres dazu findet sich in dem Changelog. Die neuen Versionen können wie immer hier geladen werden. [Mein persönlicher CERT per Email.]
Posts Tagged ‘Security’
Das Zertifikat dieser Webseite ist ungültig
Wer vertraut schon jemandem, der das Wort »Chaos« im Namen führt? Ich nicht! Niemals! [Burk's Blog]
Security Alert: Typo3
Mit dem Update auf die neuen Versionen 4.2.12 und 4.3.2 haben die Typo3-Entwickler wieder mehrere Sicherheitslücken in ihrem CMS geschlossen. Unter bestimmten Umständen gibt das Backend Angreifern mit gültigem Account die nichtöffentlichen Daten anderer Nutzer preis, und zudem sind sowohl Front- als auch Backend für diverse Cross-Site-Scripting Attacken anfällig. [Mein persönlicher CERT per Email.]
OpenOffice 3.2 schließt Sicherheitslücken
Mit der neuen Version 3.2 der freien Office-Suite OpenOffice schließen die Entwickler Sicherheitslücken, die sich zum Einschleusen und Ausführen von Schadcode ausnutzen lassen. Betroffen sind die Plattformen Windows, MacOS X und Linux. Zusätzlich gewinnt die neue Version auch an Geschwindigkeit und Stabilität. [Mein persönlicher CERT per Email.]
Security Alert: Flash (mal wieder)
In diesem Security-Bulletin warnt Adobe vor einer kritischen Sicherheitslücke in seinem Flash Player und in AIR (Adobe Integrated Runtime, eine plattformunabhängige Laufzeitumgebung). Für diese beiden Komponenten stellt der Hersteller auch bereits ein Update zur Verfügung, das möglichst zeitnah installiert werden sollte:
Flash Player Version 10.0.45.2
AIR Version 1.5.3.1930 (sofern installiert)
[Mein persönlicher CERT per Email.]
Meistgenutzte Passwörter
123456, 12345, 123456789, Password, iloveyou, princess, rockyou, 1234567, 12345678, abc123
Mit dieser Liste der zehn meistgenutzten Passwörter, die aus einem Datensatz mit 32 Millionen Accounts stammt, der im Dezember aufgrund eines Datenlecks die Öffentlichkeit erreichte, gelang es, sich alle 17 Minuten in etwa eintausend Accounts einzuhacken (jede Sekunde ein Account).
Auch wenn die Liste in Deutschland ein [...]
Nur wegen der Chronistenpflicht
Der Notfall-Patch für den Internet Explorer ist draußen, doch dafür wurde eine Windows-Lücke nach 17 Jahren gefunden, die die Virtual DOS Machine betrifft. Das Ausführen von alten Turbo-Pascal-Programmen dürfte daher eine unsichere Sache sein — doch war das jemals sicher? [heise online news]
Böser IE
Heute kam aus der Generalverwaltung meines Brötchengebers die dringende Bitte, aus Sicherheitsgründen den Internet Explorer nur noch in notwendigen Ausnahmefällen (wo die Nutzung einer Browser-Alternative nicht funktioniert) und nur hinter der Firewall zu benutzen. Die Verwaltung reichte dieses Rundschreiben an alle Mitarbeiter weiter, mit der Bemerkung: »Das ist der Browser, vor dem uns unsere EDV-Abteilung [...]
Security Alert: DokuWiki
Innerhalb weniger Tage wurden zwei gravierende Sicherheitslöcher im DokuWiki entdeckt. Andreas Gohr hat sie — wie gewohnt — sofort gefixt und ein Update auf Hotfixed-Lemming (Version 2009-12-25c Release 2010-01-15) sei Euch allen dringend ans Herz gelegt. Bei mir hat es ohne Probleme geklappt, selbst mein Monobook-Template machte diesmal keine Probleme.
So weit, so gut. Nur … [...]
Security Alert 2: Auch Adobe kommt endlich in die Hufen
Adobe liefert mit der Version 9.3 von Reader und Acrobat endlich die erforderlichen Korrekturen für die Sicherheitslücken, die seit fast einem Monat bekannt sind und auch bereits ausgenutzt werden. Sechs der acht Sicherheitslücken ermöglichen es nämlich einem Angreifer, darüber beliebigen Programmcode ausführen und damit ein fremdes System unter seine Kontrolle zu bringen. Ein Anwender muß [...]
Security Alert: IE mal wieder
Eine bislang unbekannte Sicherheitslücke in allen Versionen des Internet Explorers ermöglicht es Angreifer, über eine speziell präparierte Webseite
Schadcode in ein Windows-System zu schleusen und dort auszuführen. Laut MacAfee soll diese Lücke bereits dazu ausgenutzt werden, um die so infizierten Systeme unter die Kontrolle der Angreifer zu bringen. Microsoft hat diese Lücke im Internet Explorer bereits [...]
Zurück in die Steinzeit
Wegen fehlerhafter Sicherheitschips sind 30 Millionen Bankkarten vom 2010-Bug betroffen:
Zudem empfahl der Verband den Kunden, Bargeld mitzuführen. Der Verband der Privatbanken weist zudem darauf hin, daß Barauszahlungen mittels einer Kreditkarte am Schalter einer Bank im Ausland gegen Unterschrift und Vorlage eines Ausweises möglich seien. Betroffene Kunden, die planen ins Ausland zu reisen, sollten sich in [...]
Peters Linkschleuder
Mein emailender Dauertipgeber mit ein paar Links rund um WordPress und Python:
Paver ist eine Art Make Tool in Python. Dazu gibt es einen netten Artikel von Doug Hellmann: Writing Technical Documentation with Sphinx, Paver, and Cog. Er benutzt diese Tools, um statische Seiten zu produzieren. Daher ausdrucken! Außerdem hat er beschrieben, warum er von Make [...]
Firefox-Update
Mit der neu veröffentlichten Version 3.5.6 haben die Mozilla-Entwickler drei kritische Sicherheitsprobleme behoben, über die beliebiger Schadcode eingeschleußt werden konnte. Näheres dazu findet sich auch in den Release-Notes.
Der Browser weist wie immer selbst auf dieses Update hin. Diese Prozedur kann aber auch wie immer über das Menü
Hilfe -> Nach Update suchen …
angestoßen werden. [Mein persönlicher [...]
Security Alert: Unbekannte Sicherheitslücke in Acrobat und Adobe Reader wird bereits ausgenutzt
Das Sicherheitsteam von Adobe weist darauf hin, daß in Acrobat 9.2 (und früher) und Adobe Reader 9.2 (und früher) eine Sicherheitslücke existiert, die bereits aktiv ausgenutzt wird. Adobe untersucht derzeit dieses Problem und will schnellstmöglich ein Update veröffentlichen. Bis es soweit ist, sollten Anwender besser auf alternative Produkte ausweichen. [Mein persönlicher CERT per Email.]
Security Alert: Piwik
Die beliebte Web-Analyse-Software Piwik, die eine Alternative zu Google Analytics darstellt, weist eine Schwachstelle auf. Mittels präparierter Cookies soll es einem Angreifer gelingen können, Dateien auf den Server zu laden, eigenen PHP-Code auszuführen und damit das System unter seine Kontrolle zu bringen. Die Version 0.5 behebt dieses Problem und kann hier geladen werden. [Noch einmal [...]
Security Update für Flash-Player und AIR
Adobe hat ein wichtiges Update für den Flash Player auf Version 10.0.42.34 veröffentlicht, womit sechs kritische Sicherheitslücken auf allen unterstützten Plattformen geschlossen werden. Über diese Schwachstellen könnten Angreifer die volle Kontrolle über ein System übernehmen, sofern das Opfer eine entsprechend präparierte Webseite aufruft oder auf diese umgeleitet wird und mit Administrationsrechten arbeiten. Darüber hinaus wird [...]
Softwareaktualisierung anschmeißen …
denn Apple patcht Java in MacOS X. Damit hebt der Hersteller die Java-Version auf den Stand Java 6 Update 17 und schließt so mehrere, seit vier Wochen bekannte Sicherheitslücken. [heise online news]
Security Alert: Sicherheitslöcher in Typo3-Erweiterungen
Die Typo3-Entwickler warnen vor Sicherheitsproblemen, die in 9 Erweiterungen auftreten. Darüber können Angreifer die Datenbank manipulieren und sogar administrativen Zugang zum System erlangen. Ganz offensichtlich werden diese Schwachstellen auch bereits aktiv ausgenutzt. Es geht hier um folgende Erweiterungen:
[AN] Search it! (an_searchit) 2.4.1 (und vorherige)
Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
Automatic Base Tags [...]
Neues vom Werkzeug des Teufels …
oder: tretet endlich den Internet Explorer in die Tonne!
Im Internet Explorer wurde eine bislang unbekannte Sicherheitslücke entdeckt, die zumindest im Internet Explorer 6 und 7 auf Windows XP SP3 reproduziert werden konnte. Angreifer könnten darüber Schadcode in ein System einschleusen. Von Microsoft gibt es dazu bislang noch keine Stellungnahme.
Da der Fehler offenbar beim Aufruf einer [...]
Spam-Attacke
Letzte Nacht hat wow gold mit der IP-Adresse 123.145.162.113 (laut whois eine Maschine in China, sperrt sie schon mal vorsorglich auf Euren Servern) versucht, meine Kommentare manuell zuzuspammen. Das ist ihm zwar nicht gelungen — meine Kommentare werden moderiert –, aber trotzdem finde ich, daß die Bastonade die einzig gerechte Strafe für Kommentarspammer ist. Und [...]
WordPress tritt Esel
Nachdem das Update auf WordPress 2.8.6 selbst von meinem persönlichen CERT dringend empfohlen wurde, da die alte Version es einem Angreifer unter Umständen ermöglichen soll, eigenen PHP-Code auf dem Server auszuführen, habe ich trotz einiger Bedenken das »automatische Update« gestartet. Und was soll ich sagen? Es klappte wieder nicht! Und nach dem darauffolgenden manuellen Update [...]
Hallo Apple,
ich wiederhole mich. Aber kann mir trotzdem mal jemand bei Ihnen erklären, warum das Update Ihres Browsers den sofortigen Neustart des Rechners erfordert? Firefox erledigt das schon seit Jahr und Tag ohne solch ein Brimborium im Hintergrund …
Trotzdem gilt: Softwareaktualisierung anschmeißen. Den Safari 4.0.4 schließt eine gefährliche Sicherheitslücke. Außerdem soll die JavaScript-Engine noch einmal beschleunigt [...]
Adobe Reader und Acrobat 9.2
Diese Nachricht interessiert vermutlich nur mich, weil ich Seltsames mit PDF und 3D vorhabe: Adobe Reader und Acrobat 9.2 sind draußen. Sollte die Software außer mir tatsächlich noch jemand nutzen, sollte sie das Update auch installieren, weil ein paar Sicherheitsprobleme gefixt wurde.
Wie dumm ist das denn (cont.)?
Erster iPhone-Wurm in Umlauf: Australische iPhone-Nutzer haben am Wochenende berichtet, daß ihr Smartphone vom Wurm »ikee« infiziert wurde. Der Wurfmbefall äußere sich dadurch, daß das Hintergrundbild am iPhone durch ein Porträt des britischen Sängers Rick Astley ersetzt werde. Der Wurm befällt nur iPhones, die entsperrt wurden und deren Nutzer die Unix-Software SSH installiert, aber das [...]
