Sicherheitslücken in Typo3 lassen sich für Hijacking, Umgehung der Sicherheitsrichtlinien, Cross-Site Scripting und unerlaubten Systemzugriff ausnutzen.

Betroffen sind folgende Versionen von Typo3:

Versionen 4.0.0 bis 4.0.9 ( fehlerbereinigte Version 4.0.10 )
Versionen 4.1.0 bis 4.1.7 ( fehlerbereinigte Version 4.1.8 )
Versionen 4.2.0 bis 4.2.3 ( fehlerbereinigte Version 4.2.4 )

Nach dem Update müssen neuen Schlüssel erzeugt werden!

Empfehlung:

Es wird dringend zu entsprechenden Updates angeraten!

Sehr geehrte ok-webhosting Kunden,

der Webmailer SquirrelMail wurde auf die Version 1.4.17 gebracht.

Die neue Version enthält gegenüber der bisherigen auf hiesigem System eingesetzten Version 1.4.15 neben einigen Verbesserungen auch ein wichtiges Securoty-Fix.

Interessierte Kunden finden sämtliche Änderungen der Versionen 1.4.16 und 1.4.17 im Changelog

Sehr geehrte Kunden,

der auf asynchrone Datenübertragung (Ajax) basierende Webmailer "Roundcube" wurde heute auf die aktuelle Stable-Version 0.2 gebracht.

Neben einer Erweiterung der Funktionalität wurden gegenüber der VOrgängerversion zahlreiche Fehler behoben.

Den Webmailer Roundcube finden Sie ebenso wie SquirrelMail und Confixx-Webmail unter dem Menüpunkt "Webmail" in Ihrem Confixx-Adminmenü verlinkt.

Über eine Sicherheitslücke in der Joomla-Komponente "Eventing" ist es Angreifern möglich beliebigen SQL-Code in die Datenbank eines betroffenen Systems einzuspeisen.

Laut Meldung der Secunia-Sicherheitsexperten tritt die Schwachstelle in der aktuellen Version der Joomla-Komponente "Eventing" auf.

Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „catid“ in der Datei „index.php“ und tritt auf, wenn „option“ auf „com_eventing“ gesetzt ist.

Ein Patch ist bislang nicht bekannt.

Sehr geehrte ok-webhosting Kunden,

PHP wurde heute, vor allem aufgrund zahlreicher Sicherheitsfixes, auf die Version 5.2.8 upgedatet (siehe http://forum.ok-webhosting.de/viewtopic.php?t=427).

In den PHP-Versionen kleiner 5.2.5 konnte man die benötigte ionCube-Loader Erweiterung per dl() Funktion zur Laufzeit einbinden.
Durch Sicherheitsprobleme in den älteren PHP Versionen wurde diese Funktion jedoch durch die PHP-Entwickler deaktiviert und die Einbindung der Erweiterung zur Laufzeit funktioniert seit dem nicht mehr.

Der ionCube-Loader wurde daher global für alle Kunden verfügbar gemacht.

Ihre ggf. eingerichtete lokale ionCube-Loader Installation ist damit nunmehr ohne Funktion und sollte gelöscht werden können.

Eine in phpMyAdmin entdeckte Sicherheitslücke wurde mit dem Update auf phpMyAdmin 2.11.9.4 beseitigt.

Durch SQL-Injection über den Parameter 'table' war es authentifizierten Nutzern möglich beliebigen PHP-Code einzuschleusen.

Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory

Sehr geehrte ok-webhosting Kunden,

PHP steht ab sofort auf allen Systemen in Version 5.2.8 zur Verfügung.

Für alle Interessierten finden sich die kompletten Changelogs (seit Version 5.2.4) unter
http://www.php.net/ChangeLog-5.php#5.2.5
http://www.php.net/ChangeLog-5.php#5.2.6
http://www.php.net/ChangeLog-5.php#5.2.7
http://www.php.net/ChangeLog-5.php#5.2.8


Hinweis:

Kunden die den ionCube Loader verwenden sollten bedingt durch den Wechsel der PHP-Version folgender Meldung Ihre Aufmerksamkeit schenken -> http://forum.ok-webhosting.de/viewtopic.php?p=954#954

Hallo,

ich wünsche Herrn Clemenz sowie allen Usern ein frohes und besinnliches Weihnachtsfest sowie alles Gute im Jahr 2009.

Für den erstklassigen Service bedanke ich mich an dieser Stelle bei Herrn Clemenz. :wink:

Grüße
Andreas

Eine ungepatchte Sicherheitslücke im Internet Explorer hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Warnung vor dem Einsatz des Browsers aus dem Hause Microsoft bewogen.

Demnach ermöglicht eine Schwachstelle im XML-Parser des Internet Explorers beim Verarbeiten von SPAN-Tags einem entfernten Angreifer beliebigen Code auf betroffenen Systemen auszuführen. Hierfür muss der Angreifer sein Opfer dazu verleiten eine präparierte Webseite mit dem Internet Explorer zu besuchen.

Zur Zeit steht kein Patch zur Behebung der Schwachstelle bereit. Die derzeit im Umlauf befindlichen Exploits benötigten Java Skript. Es kann allerdings derzeit nicht ausgeschlossen werden, dass die Schwachstelle auch ohne die Verwendung von Java Skript ausgenutzt werden kann.

Empfehlung:

Es wird empfohlen die Sicherheitsstufe für die Internetzone im Internet Explorer auf "Hoch" zu setzen, wodurch die Ausführung von Java Skript deaktiviert wird. Diese Einstellungen führen allerdings dazu, dass eine Vielzahl von Webseiten nur mit eingeschränkter Funktionalität genutzt werden kann. Für vertrauenswürdige Webseiten ermöglicht der Internet Explorer die Zulassung von Ausnahmen.

Alternative Browser sind von der Schwachstelle nicht betroffen. Erwägen Sie daher bis zur Bereitstellung eines Patches temporär den Einsatz eines alternativen Browser (z.b. Firefox, Opera, Chrome, Safari ...).

Quelle: http://www.buerger-cert.de/techwarnung_a...%253d%253d

Weitere Infos: http://www.tecchannel.de/sicherheit/news...index.html

Sehr geehrte ok-webhosting Kunden,

durch die heutige Einführung des Authinfo-Verfahrens durch die DENIC
wird nun eine noch schnellere Abwicklung eines Providerwechsels
für de-Domains ermöglicht.

ok-webhosting bietet seinen Kunden ab sofort wahlweise die Möglichkeit
einen Providerwechsel für DE-Domain nach dem AuthInfo-Verfahren durchzuführen.
Dies gilt gilt sowohl für Incoming- als auch Outgoing-Transfers.

Die entscheidenden Vorteile:

• - vereinfachtes, papierloses Prozedere
  - kürzere Kommunikationswege
  - sicheres Verfahren durch Verschlüsselung
  - Möglichkeit, gleichzeitig einen Inhaberwechsel durchzuführen
  

• Der Domaininhaber beauftragt seinen aktuellen Provider, eine AuthInfo zu generieren, zu verschlüsseln und bei der DENIC zu hinterlegen.
  Die DENIC hinterlegt den verschlüsselten Authcode und schickt dem Provider eine Bestätigung darüber. Den Klartext der AuthInfo kennt die DENIC nicht.
  Der bisherige Provider bestätigt die Hinterlegung und übermitellt die ihm bekannten AuthInfo an den Domaininhaber.
  Der Domaininhaber teilt seinem neuen Provider die AuthInfo mit und beauftragt ihn mit der Durchführung des Domaintransfers. Die DENIC vergleicht nun die mit dem Domaintransfer eingehende und die ihr vorliegende AuthInfo.
  Sofern die AuthInfos nicht übereinstimmen, wird der Domaintransfer abgebrochen. Sind die AuthInfos identisch, wird der Domaintransfer durchgeführt und die AuthInfo gelöscht. Alle Beteiligten werden über den erfolgreichen Transfer informiert. Der Providerwechsel ist durchgeführt.