Sehr geehrte ok-webhosting Kunden,

der Registierungsstelle der Top-Level-Domain .de, namentlich der DENIC EG, wurden akutell Fälle bekannt, in denen eine Firma "DDReg Deutsche DomainRegistrierung.de" Kunden anschreibt und für die "Erneuerung Ihrer .de Domainnamen" 49,-- Euro in Rechnung stellt.

Die dazu benötigten Daten werden hierbei offensichtlich durch Abfrage der jedermann zugänglichen Whois-Datenbank erlangt
(http://www.denic.de/de/whois/index.jsp).

Sollten Sie ein derartiges Anschreiben erhalten haben, welches die Erneuerung einer bei ok-webhosting gehosteten Domain zum Inhalt hat, so
bitten wir dieses im eigenen Interesse zu ignorieren und die Gebühr auf keinen Fall zu begleichen.

Selbstverständlich verlängern sich alle über ok-webhosting gehosteten/registrierten Domains ohne Ihr Zutun vor Ablauf des aktuellen Registrierungszeitraums automatisiert zu denen Ihnen bekannten Konditionen.

Sofern die Domain durch Sie als Domaininhaber nicht ausdrücklich und durch Ihre Unterschrift bestätigt gekündigt wurde bleiben Sie daher ohne Zutun auf unbestimmte Zeit Domaininhaber entsprechender Domain(s).

Sollten Sie ein entsprechendes Schreiben erhalten haben, bitten wir Sie uns dies mitzuteilen und ggf. eine Kopie des Anschreibens zu übermitteln (gerne via Fax an 0711-50 42 70 15).

Wir werden dieses dann zur weiteren Veranlassung bzw. zur Prüfung rechtlicher Schritte an die DENIC weiterleiten.

Auch andere Top-Level-Domains sind in diesem Zusammenhang immer wieder von ähnlichen Vorgehensweisen betroffen. Hier gilt ebenfalls der Grundsatz, dass der Registrierungszeitraum entsprechender Domains ohne Ihr Zutun bis zum Zeitpunkt einer ausdrücklichen Kündigung automatisiert durch ok-webhosting für Sie verlängert wird.

Sollten in diesem Zusammenhang Fragen/Unsicherheiten auftauchen stehen wir selbstverständlich jederzeit gerne zur Verfügung!

Sicherheitslücken in Typo3 lassen sich für Hijacking, Umgehung der Sicherheitsrichtlinien, Cross-Site Scripting und unerlaubten Systemzugriff ausnutzen.

Betroffen sind folgende Versionen von Typo3:

Versionen 4.0.0 bis 4.0.9 ( fehlerbereinigte Version 4.0.10 )
Versionen 4.1.0 bis 4.1.7 ( fehlerbereinigte Version 4.1.8 )
Versionen 4.2.0 bis 4.2.3 ( fehlerbereinigte Version 4.2.4 )

Nach dem Update müssen neuen Schlüssel erzeugt werden!

Empfehlung:

Es wird dringend zu entsprechenden Updates angeraten!

Sehr geehrte ok-webhosting Kunden,

der Webmailer SquirrelMail wurde auf die Version 1.4.17 gebracht.

Die neue Version enthält gegenüber der bisherigen auf hiesigem System eingesetzten Version 1.4.15 neben einigen Verbesserungen auch ein wichtiges Securoty-Fix.

Interessierte Kunden finden sämtliche Änderungen der Versionen 1.4.16 und 1.4.17 im Changelog

Sehr geehrte Kunden,

der auf asynchrone Datenübertragung (Ajax) basierende Webmailer "Roundcube" wurde heute auf die aktuelle Stable-Version 0.2 gebracht.

Neben einer Erweiterung der Funktionalität wurden gegenüber der VOrgängerversion zahlreiche Fehler behoben.

Den Webmailer Roundcube finden Sie ebenso wie SquirrelMail und Confixx-Webmail unter dem Menüpunkt "Webmail" in Ihrem Confixx-Adminmenü verlinkt.

Über eine Sicherheitslücke in der Joomla-Komponente "Eventing" ist es Angreifern möglich beliebigen SQL-Code in die Datenbank eines betroffenen Systems einzuspeisen.

Laut Meldung der Secunia-Sicherheitsexperten tritt die Schwachstelle in der aktuellen Version der Joomla-Komponente "Eventing" auf.

Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „catid“ in der Datei „index.php“ und tritt auf, wenn „option“ auf „com_eventing“ gesetzt ist.

Ein Patch ist bislang nicht bekannt.

Sehr geehrte ok-webhosting Kunden,

PHP wurde heute, vor allem aufgrund zahlreicher Sicherheitsfixes, auf die Version 5.2.8 upgedatet (siehe http://forum.ok-webhosting.de/viewtopic.php?t=427).

In den PHP-Versionen kleiner 5.2.5 konnte man die benötigte ionCube-Loader Erweiterung per dl() Funktion zur Laufzeit einbinden.
Durch Sicherheitsprobleme in den älteren PHP Versionen wurde diese Funktion jedoch durch die PHP-Entwickler deaktiviert und die Einbindung der Erweiterung zur Laufzeit funktioniert seit dem nicht mehr.

Der ionCube-Loader wurde daher global für alle Kunden verfügbar gemacht.

Ihre ggf. eingerichtete lokale ionCube-Loader Installation ist damit nunmehr ohne Funktion und sollte gelöscht werden können.

Eine in phpMyAdmin entdeckte Sicherheitslücke wurde mit dem Update auf phpMyAdmin 2.11.9.4 beseitigt.

Durch SQL-Injection über den Parameter 'table' war es authentifizierten Nutzern möglich beliebigen PHP-Code einzuschleusen.

Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory

Sehr geehrte ok-webhosting Kunden,

PHP steht ab sofort auf allen Systemen in Version 5.2.8 zur Verfügung.

Für alle Interessierten finden sich die kompletten Changelogs (seit Version 5.2.4) unter
http://www.php.net/ChangeLog-5.php#5.2.5
http://www.php.net/ChangeLog-5.php#5.2.6
http://www.php.net/ChangeLog-5.php#5.2.7
http://www.php.net/ChangeLog-5.php#5.2.8


Hinweis:

Kunden die den ionCube Loader verwenden sollten bedingt durch den Wechsel der PHP-Version folgender Meldung Ihre Aufmerksamkeit schenken -> http://forum.ok-webhosting.de/viewtopic.php?p=954#954

Hallo,

ich wünsche Herrn Clemenz sowie allen Usern ein frohes und besinnliches Weihnachtsfest sowie alles Gute im Jahr 2009.

Für den erstklassigen Service bedanke ich mich an dieser Stelle bei Herrn Clemenz. :wink:

Grüße
Andreas

Eine ungepatchte Sicherheitslücke im Internet Explorer hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Warnung vor dem Einsatz des Browsers aus dem Hause Microsoft bewogen.

Demnach ermöglicht eine Schwachstelle im XML-Parser des Internet Explorers beim Verarbeiten von SPAN-Tags einem entfernten Angreifer beliebigen Code auf betroffenen Systemen auszuführen. Hierfür muss der Angreifer sein Opfer dazu verleiten eine präparierte Webseite mit dem Internet Explorer zu besuchen.

Zur Zeit steht kein Patch zur Behebung der Schwachstelle bereit. Die derzeit im Umlauf befindlichen Exploits benötigten Java Skript. Es kann allerdings derzeit nicht ausgeschlossen werden, dass die Schwachstelle auch ohne die Verwendung von Java Skript ausgenutzt werden kann.

Empfehlung:

Es wird empfohlen die Sicherheitsstufe für die Internetzone im Internet Explorer auf "Hoch" zu setzen, wodurch die Ausführung von Java Skript deaktiviert wird. Diese Einstellungen führen allerdings dazu, dass eine Vielzahl von Webseiten nur mit eingeschränkter Funktionalität genutzt werden kann. Für vertrauenswürdige Webseiten ermöglicht der Internet Explorer die Zulassung von Ausnahmen.

Alternative Browser sind von der Schwachstelle nicht betroffen. Erwägen Sie daher bis zur Bereitstellung eines Patches temporär den Einsatz eines alternativen Browser (z.b. Firefox, Opera, Chrome, Safari ...).

Quelle: http://www.buerger-cert.de/techwarnung_a...%253d%253d

Weitere Infos: http://www.tecchannel.de/sicherheit/news...index.html