In Firefox vor Version 2.0.0.12 / Thunderbird vor Version 2.0.0.12 und SeaMonkey vor Version 1.1.8 wurden insgesamt 11 Schwachstellen gefunden, wovon 4 durch den Hersteller als kritisch eingestuft wurden.

Ein entfernter Angreifer kann diese Schwachstellen u.a. dazu ausnutzen,
beliebigen Skript- oder Programmcode mit den Rechten das Benutzers zur
Ausführung zu bringen. Der Besuch einer manipulierten Web Seite kann dabei bereits ausreichen.


Empfehlung

Installieren Sie die für Firefox aktualisierte Version (2.0.0.12) umgehend auf ihrem System. Sie können die neue Version über die Update-Funktion Ihres Browsers oder über folgende Webseite beziehen:
http://www.mozilla.com/firefox/

Die aktualisierte Version für SeaMonkey (1.1.8) steht ebenfalls auf den Herstellerwebseiten zum Download bereit:
http://www.seamonkey-project.org/releases/

Eine aktualisierte Version von Thunderbird steht derzeit leider noch nicht zur Verfügung.

Sehr geehrte ok-webhosting Kunden,

phpMyAdmin wurde heute auf das Bugfixrelease Version 2.11.4 gebracht.

Details entnehmen Sie bei Bedarf der
Versionshistory

Hallo,

kann mir jemand von euch ein Gästebuch empfehlen? Ich hatte vorher das Woltlab Burningbook, dessen Vertrieb und Support aber mittlerweile eingestellt wurde.

Besondere Wünsche habe ich keine.. nur kann ich nicht die 1000 Gästebücher testen die ich via Google gefunden habe

Danke im Voraus

Über eine Schwachstelle in den aktuellen Versionen des populären MediaWiki können Angreifer per Cross-Site-Scripting beliebigen HTML- und Scriptcode in Browsersitzungen einspeisen.

Folgende Versionen von MediaWiki sind betroffen:

Version 1.11 (niedriger als 1.11.0rc1)
Version 1.10 (niedriger als 1.10.2)
Version 1.9 (niedriger als 1.9.4)
Version 1.8 (durchgängig)

MediaWiki Version 1.7 soll hingegen nicht betroffen sein.

Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter in der Datei „api.php“.

Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer MediaWiki Benutzer einspeisen.

Empfehlung:

Nutzer von betroffenen MediaWiki Versionen sollten ein Upgrade auf die neusten Versionen 1.11.1, 1.10.3 und 1.9.5 durchführen, in denen die Sicherheitslücke behoben wurde.

Experten haben eine nicht geschlossene Sicherheitslücke in PHP-Nuke gemeldet.

Die Sicherheitslücke lässt sich für SQL-Einspeisung verwenden. Dies könnte zu Manipulation von Daten oder Enthüllung sensibler Daten führen. Eingaben in de Parameter „sid“ durch die Datei modules.php zu modules/Search/index.php werden vor SQL-Anfragen nicht ausreichend überprüft. Dies könnte durch Angreifer ausgenutzt werdenn, um beliebigen SQL-Code einzuschleusen.

Ein erfolgreicher Angriff könnte den Hash-Wert des Administrator-Kontos freigeben. Dazu muss allerdings „magic_quotes_gpc“ deaktiviert sein.Ebenso muss ein Angreifer wissen, wie das Prefix der Tabellen in der Datenbank heißt. Einen Patch gibt es derzeit nicht. Anwender könnten jedoch den Quellcode selbst editieren oder „magix_quotes_gpc“ in der Datei php.ini auf „On“ setzen.

Anmerkung:

magic_quotes_gpc ist auf den ok-webhosting Systemen standardmäßig aktiviert, so dass o.g. Sicherheitslücke auf unseren Systemen derzeit nicht zum tragen kommen sollte.

Sehr geehrte Damen und Herren, verehrte Kunden,

immer wiederkehrend scheint die Firma "Domain Registry of America" (DROA) aktiv zu werden. Domainbesitzer wird durch o.g. Firma ein Schreiben zugestellt in dem, in englischer Sprache, der Eindruck erweckt wird, dass die Domain in Kürze ausläuft und bei "DROA" verlängert werden müsse.

Durch verschiedene Formulierungen und Schlagworte wird versucht, den Kunden zu verunsichern und einen falschen Eindruck zu vermitteln.

Wir möchten Sie daher noch einmal darauf hinweisen, dass es sich bei diesem Schreiben um ein Transfer-Angebot handelt. Dieses beinhaltet lediglich die Registrierung der Domain ohne sonstige Leistungen, zu teilweise überteuerten Konditionen. Es ist keinesfalls erforderlich, auf dieses Schreiben zu reagieren. Sofern Sie Ihre Domain nicht gekündigt haben, wird sie automatisch von uns erneuert.

In den Schreiben wird die Domain des Kunden und das "Expire"-Datum genannt. Zu diesem Termin muss die Laufzeit einer Domain vom Provider verlängert werden, was durch ok-webhosting auch ohne Ihr zutun automatisiert geschieht. Der Anbieter nutzt offensichtlich immer wiederkehrend öffentliche Whois-Datenbanken, um an Daten von Domaininhaber- und Laufzeittermindaten zu gelangen.

Prinzipiell wird der Domaininhaber in dem Text zwar informiert, dass es sich nur um ein Angebot handelt - dennoch wird hier offenbar darauf abgezielt, dass der Text nicht richtig gelesen und /oder durch Domaininhaber mit nicht perfekten Englischkenntnissen nicht richtig verstanden wird, um so zu verunsichern.

Interessierte Kunden finden weitere Meldungen zum Thema beispielhaft unter

http://www.rp-online.de/public/article/aktuelles/20472
http://www.golem.de/0403/30599.html

Bei weiteren Fragen stehen wir Ihnen jederzeit gerne zur Verfügung!

Betreiber eines auf Joomla beruhenden Content-Managements-Systems wird dringend geraten Ihr System einem Update zu unterziehen, sofern noch nicht geschehen.

Für eine seit ende Dezember bekannte Cross-Site-Request-Forgery-Schwachstelle (CSRF) ist mittlerweile eine Demo im Umlauf, die ermöglicht über eine präparierte Webseite einen Super Admin zu Joomla hinzu zu fügen.

Ein Angreifer könnte hierbei speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite aufruft, die den speziellen Code enthält.

Die Sicherheitslücke ist seit dem 27. Dezember öffentlich bekannt und wurde in Version 1.5 RC4 bereits – neben zwei anderen CSRF-Schwachstellen – geschlossen.

In Version 1.0.13 ist die Lücke indes noch nicht geschlossen. Die Entwickler sollen allerdings an einem Update arbeiten.


Empfehlung:

Bis zur Veröffentlichung der Sicherheitsfixes für die Version 1.0.13 sollten betroffene Anwender bei der Arbeit mit Joomla auf keinen Fall weiteren Browserfenster öffnen.

Berichten zu folgern reicht es nicht aus, dass Fenster nach der Arbeit mit Joomla zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.

Sehr geehrte ok-webhosting Kunden,

ok-webhosting bot seinen Kunden innerhalb der letzten 18 Monate neben der Unterstützung von PHP 5 (derzeit Version 5.2.4) auf den Systemen ok-webhost01 und ok-webhost02 parallel noch Unterstützung für PHP 4 an, um so den Kunden die seinerzeit Probleme bei der Migration Ihrer Scripte von PHP 4 auf PHP 5 hatten, genügend Zeit zur Umstellung zu geben.

Das PHP-Team hat nun ein letztes Sicherheits- und Stabilitäts-Update für den Zweig 4.4.x vorgestellt, welches wir soeben auf den eingangs erwähnten Systemen eingespielt haben.

Dies bedeutet PHP 4.x wird im Anschluss keine Unterstützung mehr durch die Entwickler erfahren, weshalb auch ok-webhosting im Frühjahr entsprechende Unterstützung einstellen wird.

Sofern noch nicht geschehen, sollten Kunden, die noch keine Migration Ihrer Scripte auf PHP5 vorgenommen haben, dies innerhalb der nächsten Wochen tun, da entsprechende Scripte nach Wegfall der PHP 4 Unterstützung nicht mehr lauffähig sein werden.

Änderungen von PHP 4.4.7 auf PHP 4.4.8 finden sich für interessierte Kunden unter http://www.php.net/ChangeLog-4.php#4.4.8

Wichtig:

Betroffen von o.g. Änderung sind Ausschließlich Kunden auf den Systemen ok-webhost01 (aweb) und ok-webhost02 (bweb) die bislang Ihre PHP-Scripte entweder durch eine .htaccess-Datei mit dem Inhalt " AddType application/php4 .php" oder durch Umbenennung der Dateiendung von .php nach .php4 durch PHP4 parsen.

Für alle anderen Kunden wird die Abschaltung von PHP4 keinerlei Auswirkungen haben! Kunden die einen unserer STATIK-Accounts gebucht haben, sind von o.g. Umstellung ebenfalls in keinster Weise betroffen.

Bereits ende Dezember wurden durch die Programmierer insgesamt acht Sicherheitslücken in der aktuellen Gallery2-Version geschlossen.

Die Schwachstellen liesen sich für Umgehung der Sicherheitsrichtlinien, Cross-Site Scripting, Enthüllung sensibler Daten und Systemzugriff ausnutzen.

Betroffen sind Varianten vor Gallery 2.2.4, weshalb wir allen Anwendern, die dieses Scripte im Einsatz haben dringend ein Update auf die aktuelle Version anraten.

Weitere Infos, sowie der Download der aktuellen Version finden sich unter http://gallery.menalto.com/gallery_2.2.4_released

Sehr geehrte ok-webhosting Kunden,

phpMyAdmin wurde heute auf das Bugfixrelease Version 2.11.3 gebracht.

Details entnehmen Sie bei Bedarf der
Versionshistory

Außerdem wurde die Authentifizierungsmethode umgestellt (cookie / blowfish).