Sehr geehrte ok-webhosting Kunden,

auf sämtlichen Serversystemen wurde ein Update von PHP 4.4.3 auf PHP Version 4.4.4 durchgeführt.

Mit den neuen Versionen schließen die Entwickler weitere Lücken in PHP.
Die Auswirkung einiger der Schwachstellen sind unkommentiert. Andere liesen sich ausnutzen, bestimmte Sicherheits-Restriktionen zu umgehen. So existierten Fehler in der GD-Erweiterung und der Behandlung von missgebildeten GIF-Dateien, die entsprechend behoben wurden.

Für alle Interessierten findet sich das Changelog unter
http://www.php.net/ChangeLog-4.php#4.4.4

SquirrelMail wurde heute von Version 1.4.6 auf Version 1.4.8 gebracht.

Neben zahlreichen Verbesserungen und Bugfixes wurde eine kürzlich bekanntgewordene Sicherhteitslücke geschlossen, der es am Webmailer angemeldeten Angreifern erlaubte, die zuletzt verfasste E-Mail anderer Nutzer einzusehen und zu manipulieren.

Die Schwachstelle war in einer Funktion der PHP-Software zu finden, die dazu dient, E-Mail-Nachrichten auch nach einem Timeout der Benutzersitzung am Server weiterzuschreiben. Den Entwicklern zufolge konnten angemeldete User durch Ausnutzen der Lücke die Benutzereinstellungen und E-Mail-Anhänge anderer Anwender lesen und schreiben!

Interessierte Nutzer finden die Changelogdatei zu SquirrelMail unter http://www.squirrelmail.org/changelog.php

Wie erfolgt die Abrechnung? Ist Bezahlen via Kreditkarte /paypal moeglich?

Ich bin dabei, einen neuen Webhost auszuwaehlen, daher die Frage: Ist SafeMode=ON? Kann dies auf Anfrage deaktiviert werden? Mein derzeitiger Hoster meint, dass safemode=on nicht unbedingt mehr Sicherheit bietet, die Funktionseinbussen beim Laufen von php-Skripten zu gross sind im Verhaeltnis dazu. Diverse Wikis, Bildergallerien etc laufen dann nicht so gut. Was ist Ihre Position zu SafeMode?

Sehr geehrte ok-webhosting Kunden,

auf sämtlichen Serversystemen wurde ein Update von PHP 4.4.2 auf PHP Version 4.4.3 durchgeführt.

Es handelt es sich bei der Version 4.4.3 um ein "Bugfix-Release",
das gegenüber der Version 4.4.2 keine neuen Funktionen bietet, jedoch seit dem letzen Release verifizierte Fehler, u.a. in der Funktion 'substr_compare()' und der damit verbundenen Möglichkeit eines Buffer-Overflow-Angriffs, sowie eine Lücke bezüglich der Vergabe von Sonderzeichen, bereinigt.

Für alle Interessierten findet sich das Changelog unter
http://www.php.net/ChangeLog-4.php#4.4.3

Sehr geehrte ok-webhosting Kunden,

SpamAssassin wurde soeben auf Version 3.1.4 gebracht.

In Version 3.1.4 sind neben Sicherheitsfixes auch weitere Optimierungen bezüglich der Spamerkennung sowie zahlreiche Bugfixes enthalten.

In der bisherigen Firefox-Version 1.5.04 wurden in der letzten Zeit mehrere Lücken bekannt. Neben einer jetzt beseitigten Cross-Site-Scripting-Schwachstelle wurden auch drei Fehler in der JavaScript-Implementierung beseitigt. Insgesamt haben die Entwickler zwölf Lücken behoben. Das komplette Changelog können Sie hier nachlesen.

Inzwischen sind die lokalisierten Versionen auch über die Auto-Update-Funktion verfügbar. Über den Menüpunkt „Hilfe -> Firefox aktualisieren“ können Sie die neue Version einspielen.

Über mehrere Schwachstellen in Mozilla Thunderbird können Angreifer Cross-Site-Scripting-Attacken vornehmen und das System des Nutzers kompromittieren.
Eine komplette Übersicht über alle elf beseitigten Sicherheitslücken finden Sie in diesem Changelog.

Ein erfolgreicher Angriff setzt voraus, dass JavaScript aktiviert wurde.

Zudem wurde ein Fehler bei der Verarbeitung von VCard-Anhängen gemeldet. Dies kann der Angreifer ausnutzen und einen Heap-basierten Pufferüberlauf durch präparierte Vcards auslösen. Im Anschluss ist das Ausführen beliebigen Codes möglich.


Lösung

Aktualisieren Sie auf Version 1.5.0.5

Ueber eine Schwachstelle in der Joomla-Komponente Joomlaboard koennen Angreifer das System kompromittieren.

Weitere Informationen finden Sie hier:
http://www.tecchannel.de/sicherheit/reports/7696.html

Die Sicherheitsluecke ist bestaetigt fuer Version 1.1. Fruehere Versionen
koennten jedoch ebenfalls betroffen sein.

Loesung:

Aktualisieren Sie auf Version 1.1.2.

Ueber eine Schwachstelle in der Mambo-Komponente SiteMap koennen Angreifer das
System kompromittieren.

Eingaben ueber den Parameter "mosConfig_absolute_path" in components/com_
sitemap/sitemap.xml.php werden vor der Verwendung zum Einbinden von Dateien
nicht ausreichend ueberprueft. Dies kann der Angreifer ausnutzen und beliebige
Dateien einspeisen.

Ein erfolgreicher Angriff setzt voraus, dass "register_globals" aktiviert ist.

Die Sicherheitsluecke ist bestaetigt fuer die Version 2.0. Andere Versionen
koennten jedoch ebenfalls betroffen sein.

Loesung:
Aendern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend ueberprueft
werden.

Setzen Sie "register_globals" auf "Off" (auf allen ok-webhosting Systemen standardmäßig der Fall).