Sehr geehrte Damen, sehr geehrte Herren, sehr geehrte ok-webhosting Kunden,

über eine Reihe von Sicherheitslücken im weit verbreiteten CMS Drupal ist es Angreifern möglich zusätzliche OpenIDs zu erstellen, andere Benutzerkonten zu übernehmen und Dateien einzuspeisen.

Nachfolgende Schwachstellen sind in allen aktuellen Versionen von Drupal vor Version 6.14 / 5.20 vorhanden.

Über die Sicherheitslücken OpenID Modul können Angreifer HTTP Anforderungen ohne gültige Authentifizierung durchführen. Diese Lücke lässt sich zur Übernahme weiterer OpenIDs ausnutzen.

Über einen nicht im Detail beschriebenen Fehler innerhalb der Authentifizierungs-implementierung von OpenID können Angreifer eine beliebige Benutzersitzung übernehmen solange von dieser der gleiche OpenID 2.0 Provider genutzt wird.

Die dritte Schwachstelle entsteht im Bereich der „File API“ und erlaubt das Hochladen von Dateien, die unter Umständen vom Webserver ausführbar sind. Auf diese Weise lässt sich eigener Code in den Webserver einspeisen und ausführen.

Empfehlung:

Es wird allen Nutzern von Drupal vor Version 6.14 und 5.20 dringend empfohlen ein Update auf vorgenannte, fehlerbereinigte Versionen durchzuführen. Entsprechender Download findet sich beispielsweise unter http://www.drupalcenter.de/

Mit einem aktuellen Update (Version 6 Update 15) schließt der Hersteller acht Sicherheitslücken. Die Schwachstellen lassen sich durch entfernte Angreifer mit Hilfe von manipulierten Webseiten oder übermittelten Dokumenten und Inhalten ausnutzen, um unter anderem Schadsoftware auf den Rechnern der Opfer auszuführen.

Ein unkompliziertes Update ist auf der Windows-Plattform über die integrierte Java-Update-Funktion möglich.

Alternativ steht das aktualisierten Software-Paket unter http://www.java.com/de/download/manual.jsp zum herunterladen bereit.

Es wird dringend empfohlen o.g. Update durchzuführen!

Sehr geehrte Damen, sehr geehrte Herren, sehr geehrte ok-webhosting Kunden,

in den Programmen Adobe Reader und Adobe Acrobat existiert derzeit eine kritische Sicherheitslücke bei der Verarbeitung von speziell manipulierten Flash-Inhalten (SWF-Dateien). Ein Angreifer kann die Sicherheitslücke mit Hilfe von manipulierten Flash-Inhalten in PDF-Dateien ausnutzen, um Schadsoftware auf dem Rechner der Opfer auszuführen. Bereits das Betrachten einer manipulierten Webseite reicht hierbei aus, um den schadhaften Code auf betroffenen Systemen einzuschleusen.

Achtung:
Die Schwachstelle wird bereits aktiv ausgenutzt.

Empfehlung:

Bis der Hersteller Adobe Patches für die Anwendung bereitstellt, die für den 31.07.2009 angekündigt sind, können Hinweise zur Umsetzung von Schutzmaßnahmen den Seiten des Bundesamts für Sicherheit in der Informationstechnik unter http://www.buerger-cert.de/techwarnung_a...%253d%253d entnommen werden.

Sehr geehrte Damen, sehr geehrte Herren, sehr geehrte ok-webhosting Kunden,

im Adobe Flash Player existiert derzeit eine kritische Sicherheitslücke bei der Verarbeitung von speziell manipulierten Flash-Inhalten (SWF-Dateien). Ein Angreifer kann die Sicherheitslücke mit Hilfe von manipulierten Flash-Inhalten auf Webseiten ausnutzen, um Schadsoftware auf dem Rechner der Opfer auszuführen. Bereits das Betrachten einer manipulierten Webseite reicht hierbei aus, um den schadhaften Code auf betroffenen Systemen einzuschleusen.

Achtung:
Die Schwachstelle wird bereits auf manipulierten Webseiten aktiv ausgenutzt.

Empfehlung:

Bis der Hersteller Adobe einen Patch für die Anwendung bereitstellt, der für den 30.07.2009 angekündigt ist, können Hinweise zur Umsetzung von Schutzmaßnahmen den Seiten des Bundesamts für Sicherheit in der Informationstechnik unter http://www.buerger-cert.de/techwarnung_a...%253d%253d entnommen werden.

Nachtrag: (31.07.09)

Seit wenigen Stunden steht unter http://get.adobe.com/de/flashplayer/ eine aktuelle Version des Flash-Players zur Verfügung in welcher o.g. Sicherheitslücke behoben sein soll.

Durch eine Sicherheitslücke im TinyMCE-Plug-in des CMS Joomla im, ist es unter bestimmten Umständen möglich Dateien unter Umgehung des Login auf den Server hochzuladen und zu löschen. Detailierte Angaben dazu machen die Entwickler von Joomla derzeit nicht.

Der Fehler ist nur in Version 1.5.12 zu finden. Das Update auf 1.5.13 beseitigt das Problem. Der Hersteller empfiehlt dringend das Update sofort zu installieren.

In Version 1.5.13 wurden laut Hersteller weitere Schwachstellen und Fehler korrigiert!

Die vor einigen Tagen bekannt gewordene Sicherheitslücke in Firefox 3.5 (siehe http://forum.ok-webhosting.de/viewtopic.php?t=453) betrifft auch die inzwischen veröffentlichten aktuelle Version Firefox 3.5.1.

Bis zum Erscheinen eines Updates kann die Sicherheitslücke lediglich durch das Deaktivieren von JavaScript umgangen werden.

In dem JavaScript-Just-in-Time-Compiler (JIT) der Mozilla Firefox
Version 3.5 existierte eine Sicherheitslücke die ein entfernter Angreifer
ausnutzen konnte, um mit Hilfe einer manipulierten Webseite
Schadsoftware auf dem Rechner auszuführen.

Mozilla Firefox Versionen 3.0.x sind von der Schwachstelle nicht
betroffen, da der JIT in diesen Versionen noch nicht enthalten ist.

Die Aktualisierung kann über die Firefox-Updatefunktion vorgenommen werde (Menue "Hilfe", "Firefox aktualisieren...").

Alternativ stehe die Version unter http://www.mozilla.com/en-US/firefox/all.html zum Download zur Verfügung!

Sehr geehrte Kunden,

der auf asynchrone Datenübertragung (Ajax) basierende Webmailer "Roundcube" wurde heute auf die aktuelle Stable-Version 0.2.2 gebracht.

Gegenüber der Vorgängerversion wurden nochmals 20 kleinere Fehler behoben.

Die maximale Größe für Dateianhänge in Roundcube wurden serverseitig von zuletzt 6 MB auf 10 MB angehoben.

Den Webmailer Roundcube finden Sie ebenso wie SquirrelMail und Confixx-Webmail unter dem Menüpunkt "Webmail" in Ihrem Confixx-Adminmenü verlinkt.

Eine Schwachstelle in phpMyAdmin wurde mit dem Update auf phpMyAdmin 2.11.9.5 beseitigt.

Entsprechende Sicherheitslücke erlaubte es unter Umständen, beliebigen PHP-Code auf einem Rechner auszuführen. Die Sicherheitslücke wurde von den Entwicklern als kritisch eingestuft. Davon betroffen sind Versionen 2.11.x vor 2.11.9.5.

Sehr geehrte Damen und Herren, sehr geehrte ok-webhosting Kunden,

bei der Kalkulation unserer Angebote steht stets die Betriebssicherheit, Zuverlässigkeit und Performance im Vordergrund.

So sind die ok-webhosting Systeme zur Erhöhung der Datensicherheit mit 3ware Raid-1-Array Filesystemen ausgestattet. Darüber hinaus wird von Ihren Daten einmal täglich ein komplettes Backup auf einem unserer entfernten Systeme erstellt, so dass bei etwaigen Datenverlusten /Störungen die jeweiligen Versionsstände Ihrer Präsenz der letzen 7 Tage wiederhergestellt werden können. Selbstverständlich ist hier je nach Kundenwunsch die Wiederherstellung einzelner Dateien, kompletter Verzeichnisse oder Ihrer gesamten Präsenz zu einem von Ihnen definierten Zeitpunkt innerhalb der 7 Tage-Frist möglich. Das Backup umfasst auch Datenbanken und eMail-Postfächer.

Um die Performance Ihrer Präsenz sicherzustellen werden unsere Serversysteme stets an die gestiegenen Erfordernisse angepasst. Ein ausgewogenes Verhältnis Kunden pro Server (in der Regel teilen sich nicht mehr als 50 Kunden ein Serversystem) tut hierzu ihr Übriges.

Zu guter letzt haben unsere Kunden seit nunmehr 6 Jahren die individuelle Erweiterbarkeit Ihrer Accounts, den persönlichen Support, schnelle Reaktionszeiten sowie die Flexibilität von ok-webhosting kennen und schätzen gelernt.

Unsere Geschäftspolitik wird auch in den kommenden Jahren dieses Ziel weiter verfolgen und will sich so weiterhin deutlich von den Massenanbietern der Branche unterscheiden. Hierbei verbietet es sich nahezu von selbst die Preise stets am Rande der Rentabilität zu kalkulieren um mit den "billigsten der Branche" Schritt halten zu können.

Dennoch wollen wir dem gestiegenen Ressourcenbedarf der letzten Monate Rechnung tragen und haben unser Portfolio diesbezüglich unter Beibehaltung bisheriger Konditionen neu kalkuliert.

Weitere Einzelheiten zu unseren überarbeiteten Angeboten entnehmen Sie bitte dem Newsletter vom 11. Juni 2009, der an unsere Bestandskunden versandt wurde.