Über eine Schwachstelle in den aktuellen Versionen des populären MediaWiki können Angreifer per Cross-Site-Scripting beliebigen HTML- und Scriptcode in Browsersitzungen einspeisen.

Folgende Versionen von MediaWiki sind betroffen:

Version 1.11 (niedriger als 1.11.0rc1)
Version 1.10 (niedriger als 1.10.2)
Version 1.9 (niedriger als 1.9.4)
Version 1.8 (durchgängig)

MediaWiki Version 1.7 soll hingegen nicht betroffen sein.

Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter in der Datei „api.php“.

Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer MediaWiki Benutzer einspeisen.

Empfehlung:

Nutzer von betroffenen MediaWiki Versionen sollten ein Upgrade auf die neusten Versionen 1.11.1, 1.10.3 und 1.9.5 durchführen, in denen die Sicherheitslücke behoben wurde.

Experten haben eine nicht geschlossene Sicherheitslücke in PHP-Nuke gemeldet.

Die Sicherheitslücke lässt sich für SQL-Einspeisung verwenden. Dies könnte zu Manipulation von Daten oder Enthüllung sensibler Daten führen. Eingaben in de Parameter „sid“ durch die Datei modules.php zu modules/Search/index.php werden vor SQL-Anfragen nicht ausreichend überprüft. Dies könnte durch Angreifer ausgenutzt werdenn, um beliebigen SQL-Code einzuschleusen.

Ein erfolgreicher Angriff könnte den Hash-Wert des Administrator-Kontos freigeben. Dazu muss allerdings „magic_quotes_gpc“ deaktiviert sein.Ebenso muss ein Angreifer wissen, wie das Prefix der Tabellen in der Datenbank heißt. Einen Patch gibt es derzeit nicht. Anwender könnten jedoch den Quellcode selbst editieren oder „magix_quotes_gpc“ in der Datei php.ini auf „On“ setzen.

Anmerkung:

magic_quotes_gpc ist auf den ok-webhosting Systemen standardmäßig aktiviert, so dass o.g. Sicherheitslücke auf unseren Systemen derzeit nicht zum tragen kommen sollte.

Sehr geehrte Damen und Herren, verehrte Kunden,

immer wiederkehrend scheint die Firma "Domain Registry of America" (DROA) aktiv zu werden. Domainbesitzer wird durch o.g. Firma ein Schreiben zugestellt in dem, in englischer Sprache, der Eindruck erweckt wird, dass die Domain in Kürze ausläuft und bei "DROA" verlängert werden müsse.

Durch verschiedene Formulierungen und Schlagworte wird versucht, den Kunden zu verunsichern und einen falschen Eindruck zu vermitteln.

Wir möchten Sie daher noch einmal darauf hinweisen, dass es sich bei diesem Schreiben um ein Transfer-Angebot handelt. Dieses beinhaltet lediglich die Registrierung der Domain ohne sonstige Leistungen, zu teilweise überteuerten Konditionen. Es ist keinesfalls erforderlich, auf dieses Schreiben zu reagieren. Sofern Sie Ihre Domain nicht gekündigt haben, wird sie automatisch von uns erneuert.

In den Schreiben wird die Domain des Kunden und das "Expire"-Datum genannt. Zu diesem Termin muss die Laufzeit einer Domain vom Provider verlängert werden, was durch ok-webhosting auch ohne Ihr zutun automatisiert geschieht. Der Anbieter nutzt offensichtlich immer wiederkehrend öffentliche Whois-Datenbanken, um an Daten von Domaininhaber- und Laufzeittermindaten zu gelangen.

Prinzipiell wird der Domaininhaber in dem Text zwar informiert, dass es sich nur um ein Angebot handelt - dennoch wird hier offenbar darauf abgezielt, dass der Text nicht richtig gelesen und /oder durch Domaininhaber mit nicht perfekten Englischkenntnissen nicht richtig verstanden wird, um so zu verunsichern.

Interessierte Kunden finden weitere Meldungen zum Thema beispielhaft unter

http://www.rp-online.de/public/article/aktuelles/20472
http://www.golem.de/0403/30599.html

Bei weiteren Fragen stehen wir Ihnen jederzeit gerne zur Verfügung!

Betreiber eines auf Joomla beruhenden Content-Managements-Systems wird dringend geraten Ihr System einem Update zu unterziehen, sofern noch nicht geschehen.

Für eine seit ende Dezember bekannte Cross-Site-Request-Forgery-Schwachstelle (CSRF) ist mittlerweile eine Demo im Umlauf, die ermöglicht über eine präparierte Webseite einen Super Admin zu Joomla hinzu zu fügen.

Ein Angreifer könnte hierbei speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite aufruft, die den speziellen Code enthält.

Die Sicherheitslücke ist seit dem 27. Dezember öffentlich bekannt und wurde in Version 1.5 RC4 bereits – neben zwei anderen CSRF-Schwachstellen – geschlossen.

In Version 1.0.13 ist die Lücke indes noch nicht geschlossen. Die Entwickler sollen allerdings an einem Update arbeiten.


Empfehlung:

Bis zur Veröffentlichung der Sicherheitsfixes für die Version 1.0.13 sollten betroffene Anwender bei der Arbeit mit Joomla auf keinen Fall weiteren Browserfenster öffnen.

Berichten zu folgern reicht es nicht aus, dass Fenster nach der Arbeit mit Joomla zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.

Sehr geehrte ok-webhosting Kunden,

ok-webhosting bot seinen Kunden innerhalb der letzten 18 Monate neben der Unterstützung von PHP 5 (derzeit Version 5.2.4) auf den Systemen ok-webhost01 und ok-webhost02 parallel noch Unterstützung für PHP 4 an, um so den Kunden die seinerzeit Probleme bei der Migration Ihrer Scripte von PHP 4 auf PHP 5 hatten, genügend Zeit zur Umstellung zu geben.

Das PHP-Team hat nun ein letztes Sicherheits- und Stabilitäts-Update für den Zweig 4.4.x vorgestellt, welches wir soeben auf den eingangs erwähnten Systemen eingespielt haben.

Dies bedeutet PHP 4.x wird im Anschluss keine Unterstützung mehr durch die Entwickler erfahren, weshalb auch ok-webhosting im Frühjahr entsprechende Unterstützung einstellen wird.

Sofern noch nicht geschehen, sollten Kunden, die noch keine Migration Ihrer Scripte auf PHP5 vorgenommen haben, dies innerhalb der nächsten Wochen tun, da entsprechende Scripte nach Wegfall der PHP 4 Unterstützung nicht mehr lauffähig sein werden.

Änderungen von PHP 4.4.7 auf PHP 4.4.8 finden sich für interessierte Kunden unter http://www.php.net/ChangeLog-4.php#4.4.8

Wichtig:

Betroffen von o.g. Änderung sind Ausschließlich Kunden auf den Systemen ok-webhost01 (aweb) und ok-webhost02 (bweb) die bislang Ihre PHP-Scripte entweder durch eine .htaccess-Datei mit dem Inhalt " AddType application/php4 .php" oder durch Umbenennung der Dateiendung von .php nach .php4 durch PHP4 parsen.

Für alle anderen Kunden wird die Abschaltung von PHP4 keinerlei Auswirkungen haben! Kunden die einen unserer STATIK-Accounts gebucht haben, sind von o.g. Umstellung ebenfalls in keinster Weise betroffen.

Bereits ende Dezember wurden durch die Programmierer insgesamt acht Sicherheitslücken in der aktuellen Gallery2-Version geschlossen.

Die Schwachstellen liesen sich für Umgehung der Sicherheitsrichtlinien, Cross-Site Scripting, Enthüllung sensibler Daten und Systemzugriff ausnutzen.

Betroffen sind Varianten vor Gallery 2.2.4, weshalb wir allen Anwendern, die dieses Scripte im Einsatz haben dringend ein Update auf die aktuelle Version anraten.

Weitere Infos, sowie der Download der aktuellen Version finden sich unter http://gallery.menalto.com/gallery_2.2.4_released

Sehr geehrte ok-webhosting Kunden,

phpMyAdmin wurde heute auf das Bugfixrelease Version 2.11.3 gebracht.

Details entnehmen Sie bei Bedarf der
Versionshistory

Außerdem wurde die Authentifizierungsmethode umgestellt (cookie / blowfish).

Sehr geehrte ok-webhosting Kunden,

der Webmailer SquirrelMail wurde auf die Version 1.4.13 gebracht.

In der neuen Version wurden einige Sicherheitslücken geschlossen!
Interessierte Kunden finden sämtliche Änderungen im Chancelog

Sehr geehrte Kunden,

der auf Ajax (asynchrone Datenübertragung) basierende Webmailer "Roundcube" wurde heute auf die Version des aktuellen Release-Candidat Version v0.1-rc2 gebracht.

Gegenüber den Vorgängerversionen wurden zahlreiche Bugs behoben.

Für interessierte Kunden anbei das Changelog:

- Enable drag-&-dropping of folders to a new parent and allow to create subfolders (#1457344)
- Suppress IE errors when clearing attachments form (#1484356)
- Set preferences field in user table to NULL (#1484386)
- Log error when login fails due to auto_create_user turned off
- Filter linked/imported CSS files (closes #1484056)
- Improve message compose screen (closes #1484383)
- Select next row after removing one from list (#1484387)
- Make smtp HELO/EHLO hostname configurable (#1484067)
- IPv6 Compatability (#1484322), Patch #1484373
- Unlock interface when message sending fails (#1484570)
- Eval PHP code in template includes (if configured)
- Show message when folder is empty. Mo more static text in table (#1484395)
- Only display unread count in page title when new messages arrived
- Fixed wrong delete button tooltip (#1483965)
- Fixed charset encoding bug (#1484429)
- Applied patch for LDAP version (#1484552)
- Improved XHTML validation
- Fix message list selection (#1484550)
- Better fix lowercased usernames (#1484473)
- Update pngbehavior Script as suggested in #1484490
- Fixed moving/deleting messages when more than 1 is selected
- Applied patch for LDAP contacts listing by Glen Ogilvie
- Applied patch for more address fields in LDAP contacts (#1484402)
- Add alternative for getallheaders() (fix #1484508)
- Identify mailboxes case-sensitive
- Sort mailbox list case-insensitive (closes #1484338)
- Fix display of multipart messages from Apple Mail (closes #1484027)
- Protect AJAX request from being fetched by a foreign site (XSS)
- Make autocomplete for loginform configurable by the skin template
- Fix compose function from address book (closes #1484426)
- Added //IGNORE to iconv call (patch #1484420, closes #1484023)
- Check if mbstring supports charset (#1484290 and #1484292)
- Prefer iconv over mbstring (as suggested in #1484292)
- Check filesize of template includes (#1484409)
- Fixed bug with buttons not dimming/enabling properly after switching folders
- Fixed compose window becoming unresponsive after saving a draft (#1484487)
- Re-enabled "Back" button in compose window now that bug #1484487 is fixed
- Fixed unresponsive interface issue when downloading attachments (#1484496)
- Lowered status message time from 5 to 3 seconds to improve responsiveness
- Raised .htaccess upload_max_filesize from 2M to 5M to differ from default php.ini
- Increased "mailboxcontrols" mail.css width from 160 to 170px to fix non-english languages (#1484499)
- Fix status message bug #1484464 with regard to #1484353
- Fix address adding bug reported by David Koblas
- Applied socket error patch by Thomas Mangin
- Pass-by-reference workarround for PHP5 in sendmail.inc
- Fixed buggy imap_root settings (closes #1484379)
- Prevent default events on subject links (#1484399)
- Use HTTP-POST requests for actions that change state

Sehr geehrte ok-webhosting Kunden,

der Webmailer SquirrelMail wurde auf die Version 1.4.11 gebracht.

Die neue Version enthält zahlreiche Bugfixes und Verbesserungen!
Interessierte Kunden finden sämtliche Änderungen im Chancelog

Um den Bedienkomfort zu erhöhen wurde auf Kundenwünsche außerdem eine "Auto-Loginfunktion" integriert!

Bitte beachten Sie hierzu jedoch vor einer Nutzung unbedingt die Hinweise auf der Loginseite!