KURZINFO CB-K21/0950
    Titel:              WordPress: Mehrere Schwachstellen
    Datum:              10.09.2021
    Software:          Open Source WordPress < 5.8, Open Source WordPress <
                        5.8.1
    Plattform:          Linux, Sonstiges, UNIX, Windows
    Auswirkung:        Cross-Site-Scripting
    Remoteangriff:      Ja
    Risiko:            mittel
    CVE Liste:          CVE-2021-39200, CVE-2021-39201, CVE-2021-39202
    Bezug:              https://github.com/WordPress/wordpress-d...-7v5q-x8q5

REVISIONS HISTORIE
    Version: 1
    Initiale Fassung

BESCHREIBUNG
    WordPress ist ein PHP basiertes Open Source Blog-System.

    Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere
    Schwachstellen in WordPress ausnutzen, um Informationen offenzulegen und
    einen Cross-Site-Scripting Angriff durchzuführen.

    [1] WordPress Security Advisory vom 2021-09-09
        <https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-m9hc-7v5q-x8q5>
    [2] WordPress Security Advisory vom 2021-09-09
        <https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-wh69-25hr-h94v>
    [3] WordPress Security Advisory vom 2021-09-09
        <https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-fr6h-3855-j297>

Quelle:
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat OC 24
Godesberger Allee 185 -189
53175 Bonn

Anmerkung:

WordPress sollte daher möglichst rasch das verfügbare Sicherheitsupdate auf WordPress 5.8.1 erfahren, sofern noch nicht geschehen.

Sehr geehrte ok-webhosting Kunden,

bitte beachten Sie dass die PHP Standard-Version in LiveConfig auf PHP 7.4 gesetzt wurde. D.h ohne Ihr Zutun werden künftig neu angelegte Domains/Subdoamins PHP Version
7.4 nutzen.

Selbstverständlich lassen sich aber darüber hinaus wie gewohnt für jede Domain/Subdomain einzeln die PHP-Versionen 7.0 / 7.1 / 7.2 / 7.3 / 7.4 und 8.03 in LiveConfig auswählen.

ACHTUNG !!!

Vom Einsatz von kleiner als 7.3 wird ausdrücklich abgeraten, diese Versionen finden auf dem Server aus Sicherheitsgründen in absehbarer
Zeit keine Unterstützung mehr. Scripte die lediglich noch unter PHP kleiner als 7.3 lauffähig sind sollten daher in absehbarer Zeit ersetzt oder überarbeitet werden.

Für bereits angelegte Domains und Subdomains ändern sich die bislang genutzten PHP-Versionen (dies wird meist der bisher auf dem System
gesetzte Standard, PHP 7.2 sein) zunächst nicht. 

Die PHP-Versionen lassen sich jeweils für jede Domain/Subdomain im LiveConfig aktivieren (empfohlene Methode) oder für einzelne
Verzeichnisse durch eine htaccess mit dem Inhalt

FcgidWrapper /var/www/xwebX/conf/php74/php-fcgi-starter .php

anpassen.

xwebX und php74 sind entsprechend auf den Einzelfall anzupassen xwebX ist durch das Nutzerverzeichnis zu ersetzen, also zum
Beispiel pweb5 und php74 durch die gewünschte Version, php73 = PHP 7.3 / php74 = PHP 7.4 usw.

Letzteres Methode über die htaccess wir jedoch nur empfohlen sofern unbedingt notwendig, d.h wenn tatsächlich andere Verzeichnisse der
selben Domain/Subdomain andere PHP-Versionen benötigen, ansonsten wäre die Aktivierung über LiveConfig die zu bevorzugende Art der Umstellung.

Sollten Sie noch Fragen haben jederzeit gerne.

Hallo
Kann jemand eine gute Offshore-Firma für die Entwicklung von Apps auf Android, die nicht teuer sind?
Danke!

Hallo alle zusammen,

Wer nach einem guten Online spiel Sucht den kann ich unbedingt empfehlen den Sizzling Hot Casino spiel auszuprobieren. Es handelt sich über einem sehr spannenden Spiel der in kurze Zeit bei vielen Spieler sehr beliebt geworden ist. Es gibt mehrere Gründe warum. Ein von dem ist , dass man dieses Spiel nicht um echten Geld Einsatz spielen muss. Kein download ist notwendig, ganz einfache Spielregeln und tolle Atmosphäre. Alles das hat zu Ergebnis das immer mehr und mehr Spieler diese Seite besuchen, um an diesem Spiel teil zu nehmen.

Sehr geehrte Damen, sehr geehrte Herren, liebe ok-webhosting Kunden,

damit wir Ihnen auch zukünftig ein ausreichend performantes System und die zuverlässige Erreichbarkeit aller Serverdienste ermöglichen können wurde der Server ok-webhost12 heute Nacht gegen ein wesentlich leistungsfähigeres System ausgetauscht.

Liebe ok-webhosting Kunden,

derzeit liegen uns keine Erkenntnisse über Störungen vor. Sollten Sie dennoch Probleme feststellen bitte wir um Benachrichtigung

>>> Hier finden Sie eine Echtzeitübersicht der einzelnen Serverdienste! <<<

Sehr geehrte ok-webhosting Kunden,

bitte beachten Sie dass die PHP Standard-Version in LiveConfig auf PHP 7.2 gesetzt wurde. D.h ohne Ihr Zutun werden künftig neu angelegte Domains/Subdoamins PHP Version
7.2 nutzen.

Selbstverständlich lassen sich aber darüber hinaus wie gewohnt für jede Domain/Subdomain einzeln die PHP-Versionen 5.3 / 5.6 / 7.0 / 7.1 / und 7.3 in LiveConfig auswählen.

ACHTUNG !!!

Vom Einsatz von PHP 5.3 und PHP 5.6 wird ausdrücklich abgeraten, diese Versionen finden auf dem Server aus Sicherheitsgründen in absehbarer
Zeit keine Unterstützung mehr. Scripte die lediglich noch unter PHP 5.3 oder 5.6 lauffähig sind sollten daher dringend!!! ersetzt oder überarbeitet werden.

Für bereits angelegte Domains und Subdomains ändern sich die bislang genutzten PHP-Versionen (dies wird meist der bisher auf dem System
gesetzte Standard, PHP 7.0 sein) zunächst nicht. Sofern PHP 7 genutzt wird, werden diese im LiveConfig allerdings nun als PHP 7.2 (Standard) angezeigt.
Tatsächlich wird PHP 7.2. aber erste genutzt wenn manuell kurz auf eine andere PHP-Version und danach auf PHP 7.2. zurück gestellt wird.


Die PHP-Versionen lassen sich jeweils für jede Domain/Subdomain im LiveConfig aktivieren (empfohlene Methode) oder für einzelne
Verzeichnisse durch eine htaccess mit dem Inhalt

FcgidWrapper /var/www/xwebX/conf/php53/php-fcgi-starter .php

anpassen.

xwebX und php53 sind entsprechend auf den Einzelfall anzupassen xwebX ist durch das Nutzerverzeichnis zu ersetzen, also zum
Beispiel pweb5 und php53 durch die gewünschte Version, php53 = PHP 5.3 / php56 = PHP 5.6 usw.

Letzteres Methode über die htaccess wir jedoch nur empfohlen sofern unbedingt notwendig, d.h wenn tatsächlich andere Verzeichnisse der
selben Domain/Subdomain andere PHP-Versionen benötigen, ansonsten wäre die Aktivierung über LiveConfig die zu bevorzugende Art der Umstellung.

Sollten Sie noch Fragen haben jederzeit gerne.

Sehr geehrte Damen, sehr geehrte Herren, liebe ok-webhosting Kunden,

um die Sicherheit unserer Systeme weiter zu erhöhen wurden die AllowOverride-Option "FileInfo" in allen Apache vhost-Konfigurationen entfernt und statt dessen wurden die erlaubten Anweisungen in AllowOverrideList aufgeführt. Die Anweisung "SetHandler" wird damit nicht mehr in .htaccess-Dateien erlaubt sein.

Web-Anwendungen benötigen in der Regel keine SetHandler-Anweisung in der .htaccess. Eine Ausnahme stellt hier leider Drupal dar: dort enthält u.a. /sites/default/.htaccess entsprechende SetHandler-Anweisungen, um die Ausführung von hochgeladenen Dateien zu verhindern.

Wo notwendig wurden durch uns die entsprechenden htaccess-Dateien bereits angepasst, so dass durch Sie in der Regel nichts weiter zu veranlassen sein wird. Weitere Informationen zur .htaccess-Thematik bei Drupal finden Sie unter https://hostinghandbuch.de/apps.drupal.htaccess

Bei Fragen stehen wir gerne zur Verfügung.

Sehr geehrte Damen, sehr geehrte Herren, liebe ok-webhosting Kunden,

aufgrund zahlreicher fernmündlicher Anfragen der letzten Tage, die wir leider nicht alle persönlich beantworten konnten, anbei einige Informationen zur Datenschutz-Grundverordnung (DSGVO).

Wenn wir für Sie personenbezogene Daten als Auftragsverarbeiter nach Art. 28 DSGVO (Datenschutzgrundverordnung) verarbeiten, sollten Sie mit uns eine entsprechende Vereinbarung zur Auftragsverarbeitung abschließen. Bitte prüfen Sie, ob Sie mit den von uns bereitgestellten Leistungen personenbezogene Daten im Sinne der DSGVO verarbeiten. Sollte dies der Fall sein, schließen Sie bitte diese Vereinbarung mit uns ab.

Wir lassen Ihnen eine Auftrag zur Auftragsdatenverarbeitung gerne per Email zukommen, hierzu genügt eine kurze Nachricht an datenschutz@ok-webhosting.de

!!! Bitte beachten Sie in diesem Zusammenhang, dass ab dem 19.05.2018 bis zum 30.05.2018 wegen urlaubsbedingter Abwesenheit nur unaufschiebbare Supportanfragen bearbeitet werden !!!

Hinsichtlich der Bestimmungen der DSGVO kann es unter anderem auch notwendig sein auf Ihrer Präsenz eine SSL-Zertifikat einzusetzen. Vor diesem Hintergrund bieten wir unseren Bestandskunden selbstverständlich den kostenfreien Umzug auf eines unserer neuen Systeme an. Accounts von Kunden mit einer Kundennummer größer als 11000 befinden sich bereits auf einem unserer neuen Systeme, wie Sie dort ein entsprechendes SSL-Zertifikat beantragen und installieren, entnehmen Sie bitte dem Account-Handbuch dass Ihnen mit Freischaltung Ihres Accounts auf dem neuen System zugegangen ist.

Sie finden diese aber auch jederzeit unter https://ok-webhosting.de/anleitungen/Han...Config.pdf zum Download.

Neben weitere Vorzügen wie deutlich erhöhte Ressourcen zu gleichbleibenden Konditionen, frei wählbare PHP-Versionen je Domain/Subdomain/Verzeichnis/, PHP als FastCGI gibt es für Accounts auf den neuen Systemen im Sinne der "fair use Policy" auch keine Trafficbeschränkung mehr. Die Konditionen bleiben hingegen unverändert.

Darüber hinaus besteht u.a. mit dem SSL-Self Modul die Möglichkeit der kostenlosen Nutzung von SSL-Zertifikaten des Anbieters Let's Encrypt für alle Ihre Domains/Subdomains (ab dem Beginner-Account ist SSL-Self bereits inclusive).

Sollten Sie an einer Migration auf eines unsere neuen Systeme Interesse haben bitten wir um kurze Nachricht an support@ok-webhosting.de und werden Ihnen dann alle weiteren Informationen zukommen lassen.

Weitere Informationen zur DSGVO finden Sie zum Beispiel unter https://de.wikipedia.org/wiki/Datenschut...verordnung.

Sehr geehrte ok-webhosting Kunden,

aufgrund einer bekannt gewordenen Sicherheitslücke vor Roundcube Version 1.0.8 wurde Roundcube 1.0.4
auf unseren Systemen auf die fehlerbereinigte Version 1.0.8 upgedatet.