Die Statistiksoftware AWStats weist Scherheitslöcher auf, über die Angreifer beliebige Befehle auf dem darunterliegenden Server ausführen könnten. Schuld ist wie schon in der Vergangenheit die unsichere Verwendung bestimmter Perl-Funktionen, über die sich beispielsweise der Linux-Wurm Lupper verbreitet hat.

Aufgrund einer fehlenden Überprüfung der Übergabewerte an den migrate-Parameter von AWStats wird die Benutzereingabe direkt an einen Perl-open-Befehl übergeben. Startet der Übergabewert mit einer Pipe ("|"), interpretiert Perl den darauffolgenden Teil als Shell-Kommando. Für einen erfolgreichen Angriff muss jedoch die Option AllowToUpdateStatsFromBrowser in der Konfiguration aktiviert sein, was standardmäßig nicht der Fall ist.

Anmerkung:

Die Funktion AllowToUpdateStatsFrom Browser ist bei der von uns eingesetzen AWStats-Version von jeher deaktiviert, unsere Konfiguration veranlasst AWStats einmal täglich statisch die Statistiken zu erstellen. DIe o.g. Sicherheitslücke kommt somit nicht zum Tragen!

Sehr geehrte ok-webhosting Kunden,

der Browser Firefox bleibt von Sicherheitslücken nicht verschont. Insgesamt sieben entsprechende Lücken wurden bekannt.

Fünf davon sind als kritisch einzustufen, so ist es "Angreifern" z.b. möglich dem Besucher beim Aufruf einer präparierten Webseite Code unterzuschieben, der dessen Sicherheit gefährdet.

Die Version 1.5.0.2 behebt entsprechende Sicherheitslücken.
Darüber soll mit der neuen Firefox-Version die allgemeine Stabilität verbessert worden sein.

Comtipp.com
Das Forum für Spielsüchtige und solche die es werden wollen ist durchgestartet und wartet auf Fragen, Antworten und natürlich Tipps zu Action, Shooter, Sport und Strategie.
Wer sich auskennt oder Fragen hat stellt es im entsprechendem Forum ein und bekommt sicher auch schnell einen Tipp oder ein Dankeschön.

P.S. Eine Plauderecke (Chat) zum Thema gibts selbstverständlich auch und im Raum für Sonstiges kann man auch Themenfremdes oder Themenübergreifendes ausdiskutieren. Also einfach mal vorbeischauen, Anmelden und LosFachsimpeln.

Sehr geehrte ok-webhosting Kunden,

heute, am 12.04.2006 wurde durch die Hacker-Gruppe LoK-Crew ein Exploit veröffentlicht durch den es möglich sein soll aufgrund unzureichender Filterung der Variablen "jahr" in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einzuschleusen.

Angreifer können mit Hilfe manipulierter Links so unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen.

Ein ähnliches Problem existiert mit der Variablen "SID" in der Endkunden-Hauptseite user/index.php. Über diese lassen sich beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.

Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter, eine Bugfix soll noch diese Woche Veröffentlichung finden.

Wichtig:

Unabhägig von einer in Aussicht gestellten Veröffentlichung des offiziellen Bugfix seites SW-Soft wurde der fehlerhafte "Schadcode" bereits beseitigt, so dass die o.g. Sicherheitslücken auf unseren Systemen nicht mehr zum tragen kommen.

Weitere Details zur o.g. Sicherheitslücke finden Sie unter http://www.heise.de/newsticker/meldung/71956

Sehr geehrte ok-webhosting Kunden,

heute, am 12.04.2006 wurde durch die Hacker-Gruppe LoK-Crew ein Exploit veröffentlicht durch den es möglich sein soll aufgrund unzureichender Filterung der Variablen "jahr" in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einzuschleusen.

Angreifer können mit Hilfe manipulierter Links so unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen.

Ein ähnliches Problem existiert mit der Variablen "SID" in der Endkunden-Hauptseite user/index.php. Über diese lassen sich beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.

Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter, eine Bugfix soll noch diese Woche Veröffentlichung finden.

Wichtig:

Unabhägig von einer in Aussicht gestellten Veröffentlichung des offiziellen Bugfix seites SW-Soft wurde der fehlerhafte "Schadcode" bereits beseitigt, so dass die o.g. Sicherheitslücken auf unseren Systemen nicht mehr zum tragen kommen.

Weitere Details zur o.g. Sicherheitslücke finden Sie unter http://www.heise.de/newsticker/meldung/71956

Betroffene Systeme:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows 98 und Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)
Internet Explorer 5.01
Internet Explorer 6

Voraussetzungen:
===========
Oeffnen einer manipulierten Webseite


Empfehlung:
========

Installieren Sie moeglichst umgehend das von Microsoft bereitgestellte
Update fuer den Internet Explorer, das die Schwachstellen schliesst
[MS06-013, KB912812]. Dies geschieht am einfachsten ueber einen Besuch
der "Windows Update" Webseite unter:
http://windowsupdate.microsoft.com

Falls die Windows-Komponente "Automatische Updates" aktiviert ist, wird
diese Aktualisierung selbstaendig installiert, ohne dass der Benutzer
eingreifen muss.

Technische Empfehlung:
===============

Das Update kann auch manuell von folgender Webseite herunter geladen
werden:
http://www.microsoft.com/germany/technet...6-013.mspx

Im Microsoft Knowledge Base Artikel 912812 werden moegliche Probleme
mit dem aktuellen Update beschrieben:
http://support.microsoft.com/kb/912812

Beschreibung:
=========

Der Microsoft Internet Explorer ist der Standard-Webbrowser fuer
Microsoft Windows Betriebssysteme.

Im Internet Explorer wurden insgesamt zehn Sicherheitsluecken entdeckt,
die mit dem aktuellen kumulativen Update behoben werden. Wenn der
Benutzer eine manipulierte Webseite besucht, koennen durch einige der
Schwachstellen beliebige Kommandos auf dem Computer des Anwenders
ausgefuehrt werden. Weitere Fehler koennen sensible Informationen
preisgeben oder den Benutzer ueber die Identitaet der aktuell
aufgerufenen Webseite taeuschen und damit Phishing-Angriffe
ermoeglichen.

Mit dem Update wird auch die seit Maerz veroeffentlichte Luecke in der
Internet Explorer-Funktion "createTextRange()" geschlossen, die bereits
aktiv im Internet ausgenutzt wurde.

Sehr geehrte ok-webhosting Kunden,

seit Anfang April steht das Forenscript phpBB in Version 2.0.20 zum Download bereit.

Das Bugfix schließt in erster Linie zahlreiche kleinere Sicherheitslöcher. Darüberhinaus enthält die Software noch einige neue Funktionen, die es zum Beispiel erlauben, die Anzahl der Suchanfragen pro User zu limiteren, um die Serverlast möglichst gering zu halten.

Wie üblich empfehlen die Entwickler, zügig das aktuelle Release einzuspielen. phpBB-Foren waren in der jüngeren Vergangenheit immer wieder Ziel von Wurmattacken (siehe http://forum.ok-webhosting.de/viewtopic.php?t=133). Das letzte Release 2.0.19 behob einige Cross-Scripting-Lücken.

Hallo,

ich möchte einen php code in meine Website einbauen. Weiss aber nicht wie ich das machen soll. Mit html funktioniert das ohne probleme.

Hier mal das script oder code:

<table width="750" align="center" border="0"><tr><td> <?PHP include("http://www.klick-it.de/partnerlinks.php?lpid=12834"); ?></td></tr></table><br><br>

In welchem dateiformat soll ich das auf den Webserver speichern ? Bin total überfragt. Habe es anfangs mal mit einer Textdatei probiert. Hat natürlich nicht geklappt. Deshalb meine Bitte an euch Profis.

Ziel des ganzen ist es bei klick-it.de backlinks zu bekommen. Durch die Einbindung dieses Codes würden sich auf meiner Website einige links sichtbar werden.

Allerdings habe ich die noch nicht sehen können.

Ach ja, ich benutze einen HP - Generator von Data Becker. "Web2date" 1.0

Viele Grüsse
Atomic1408

ImageMagick wurde heute auf den Versionsstand 6.2.6-4 gebracht.


Für alle Interessierten nachfolgendes Changelog:

• -Read image filenames that start with a dash (e.g. display -- -logo.png).
  -Do not set the image opacity when reading a PSD colormap index (reference http://redux.imagemagick.org/discussion-...hp?p=18026).
  -By default, ImageMagick sets the page size to the MediaBox. Some PDF files, however, have a CropBox that is smaller than the MediaBox and may include white space, registration or cutting marks outside the CropBox. To force ImageMagick to use the CropBox rather than the MediaBox, use -define (e.g. -define pdf:use-cropbox=true).
  -RGB to CMYK color conversion is now scaled properly.

Sehr geehrte ok-webhosting Kunden,

das File Transport Protokoll (FTP) steht allen Accounts ab sofort optional auch verschlüsselt zur Verfügung.

Per FTP/SSL wird der gesamte Transfer sämtlicher Daten via Secure Socket Layer (SSL) verschlüsselt.

Für die Nutzung von FTP/SSL ist darauf zu achten, das Ihr FTP-Client entsprechend FTP via SSL unterstützt (FTP über SSL/Explizite Verschlüsselung). Empfehlenswert ist hier beispielsweise der kostenfreie Open-Source FTP-Client Filezilla. Bei der Datenverbindung sollte ausserdem darauf geachtet werden, dass diese im Passive Mode aufgebaut wird.

Unser Account-Handbuch wird in den nächsten Tagen entsprechend überarbeitet.

Selbstverständlich steht das FTP-Protokoll auch weiterhin unverschlüsselt zur Verfügung!