Sehr geehrte ok-webhosting Kunden,

innerhalb der letzten Tage wurden alle MySQL-Datenbanken unserer Kunden automatisch auf MySQL 5.5.31 aktualisiert. Darüber hinaus wurde auch PHP mit der Version 5.3.28 auf einen neuen Versionsstand gebracht.

Zu den damit einhergehenden Änderungen und Features zählen

InnoDB jetzt Standard-Speicherengine
Performanceseigerung durch die Nutzung von asynchronem I/O
Verbesserte Skalierbarkeit auf Mehrkern-CPUs
Neue Kommandos SIGNAL/RESIGNAL für standardkonforme Fehlerbehandlung in Stored Procedures
Erweiterungen der XML-Funktionalität
Unicode 5.0 Unterstützung: utf8mb4, utf16 und utf32
Unterstützung des Performance-Schemas (Funktionen zur Überwachung der MySQL-Server-Ausführung)

Die Speicher-Engine InnoDB wurde auch erweitert und bringt beispielsweise mit “Change Buffering” ein erweitertes “Insert Buffering” mit, um damit auch die Leistung bei Lösch- und Aktualisierungprozessen in Stapeln, sowie Transaktion-Rollbacks und das Eliminieren gelöschter Datensätze zu verbessern.

WICHTIG:

MySQL 5.5 speichert die DB-Passwörter aus Sicherheitsgründen ausschließlich in einer 41 Bytes langen Zeichenkette.

Für eine Übergangsfrist war es auf unseren Systemen möglich, "alte" Passwörter die verschlüsselt im 16 Bytes-Format abgelegt waren, zu nutzen. Dies wird zur Erhöhung der Sicherheit nach der Umstellung nicht mehr der Fall sein. Innerhalb der letzten Monate gesetzte oder geänderte Passwörter wurden durch das System bereits im neuen Format gespeichert.

Kunden deren Passwörter noch im alten Format gespeichert waren wurden bereits am 11.05.2014 durch uns informiert und gebeten Ihr MySQL-Datenbankpasswort über das Confixx-Adminmenü einmalig erneut abzuspeichern, damit auch dieses im neuen Format gespeichert werden.

Sollte Ihre Datenbank nach der Umstellung nicht mehr erreichbar sein, gehören Sie vermutlich zu den betroffenen Kunden uns sollten entsprechende Änderung über Ihr Confixx-Adminmenü veranlassen.

O.g. am 11.05.2014 bereits an betroffene Kunden bereits versandte Schritt für Schritt Anleitung kann bei Bedarf erneut an Sie versandt werden, eine kurze Nachricht an support@ok-webhosting.de genügt.

Sehr geehrte Damen, sehr geehrte Herren,

acht Jahre nach dem Start der Arbeiten am Ajax basierten Webmailer "Roundcube" haben die Entwickler die Version 1.0.0 der Webanwendung veröffentlicht.

Roundcube wurde auf unseren Systemen soeben von Version 0.9.5 auf Version 1.0.0 upgedatet.

Interessierte finden das Changelog hier

Sehr geehrte ok-webhosting Kunden,

bereits seit Montag wurde eine schwere Sicherheitslücke in OpenSSL Version 1.0.0 und höher bekannt über die auch bereits ausführlich berichtet wird.

ok-webhosting Systeme waren von der Lücke jedoch nicht betroffen da auf unseren produktiven Systemen derzeit ausnahmslos die nicht betroffene OpenSSL Version 0.98 eingesetzt wird.

Weitere Details entnehmen Sie bei Bedarf den zahlreichen Publikationen im Netz zum Beispiel unter

http://www.heise.de/newsticker/meldung/D...65517.html
http://www.focus.de/digital/computer/int...55169.html
http://webmagazin.de/web/Sicherheitsbug-...ckt-172640

Nachtrag:
Fragen und Antworten zur o.g. Sicherheitslücke finden sich unter anderem unter
http://www.golem.de/news/openssl-wichtig...740-2.html

Sehr geehrter Damen, sehr geehrte Herren,

sämtliche Domains werden innerhalb der nächsten 12 Monate intern durch ok-webhosting zu einem wesentlich leistungsfähigeren Registrar umgesiedelt. So werden zum Beispiel künftig automatisierte Status-Mails an unsere Kunden in deutscher Sprache gehalten sein und zahlreiche Domainendungen werden deutlich schneller für Sie registriert werden können.

In diesem Zusammenhang werden teilweise automatisiert sogenannte FOA-Schreiben erstellt und an Sie als Domaininhaber und/oder administrativen Ansprechpartner versandt, in der Sie aufgefordert werden einen dortigen Link zu bestätigen oder den Transfer abzulehnen.

Um unsere Kunden nicht unnötig zu verunsichern ist geplant den Versand der FOA-Schreiben mit dem Betreff "Confirmation of Registrar Transfer" grundsätzlich auf Seiten der Registrierungsstelle zu unterbinden, was jedoch bedauerlicher Weise aufgrund technischer Gegebenheiten nicht in jedem Fall gelingen wird.

Wir bitten Sie daher etwaig empfangene FOA-Schreiben mit dem o.g. Betreff, die ausschließlich in englischer Sprache gehalten sind, zu ignorieren.

Ihre Domains werden ohne Ihr Mitwirken auch künftig wie gewohnt und unverändert durch ok-webhosting für Sie verwaltet.

Bei Fragen hierzu stehen wir jederzeit gerne zur Verfügung.

Vielen Dank für Ihr Verständnis!

Eine bereits im Dezember 2013 bekannt gewordenen schwere Sicherheitslücke in der Joomla Dateimanager Extension “eXtplorer”, die es Angreifern ermöglicht,
beliebige Dateien auf Webserver hochzuladen, wird wohl derzeit aktiv ausgenutzt um Spam über rentsprechende Webserver zu versenden.

Nutzer die diese Extension in einer älteren Version als 2.1.5 vom 19.12.2013 benutzen sollten Sie dringend auf die hier erhältliche aktuelle Version updaten, sowie zur Sicherheit sämtliche Zugangsdaten (Joomla, Confixx, MySQL) ändern.

Bitte prüfen Sie auch stets, ob für Joomla selbst und alle installierten Plugins und Erweiterungen neue Versionen verfügbar sind.

Darüber hinaus sollten Sie ggf. einen Passwortschutz für das Administrator Verzeichnis von Joomla verwenden.

Weitere Informationen finden sich utner anderem unter http://joomlacode.org/gf/project/joomlaxplorer/

CERT-Bund Meldung
-----------------

KURZINFO CB-K13/1091
Titel: Wordpress: Eine Schwachstelle ermöglicht das
Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Datum: 30.12.2013
Software: Wordpress
Plattform: Wordpress
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Remoteangriff: Ja
Risiko: hoch
Bezug: http://web.nvd.nist.gov/view/vuln/detail...-2013-7102

BESCHREIBUNG
WordPress ist ein weit verbreitetes Content Management System für
Web-Blogs.

Eine Schwachstelle beim Hochladen von Dateien in OptimizePress 1.x
ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebige
Dateien mit den Rechten des Dienstes auszuführen.

[1] Schwachstelle CVE-2013-7102 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail...-2013-7102>
[2] WordPress OptimizePress Theme - Schwachstelle beim Laden von Dateien
<http://seclists.org/fulldisclosure/2013/Dec/127>
[3] WordPress OptimizePress Update Information
<http://help.optimizepress.com/hc/en-us/a...my-content>




Mit freundlichen Grüßen
das Team CERT-Bund

--------------------------------------------
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C 21
Godesberger Allee 185 -189
53175 Bonn

Postfach 20 03 63
53133 Bonn

Telefon:

+49 (0)228 99 9582 222
Telefax:

+49 (0)228 99 9582 5427
E-Mail: wid-kontakt@bsi.bund.de
Internet: www.cert-bund.de

--------------------------------------------

Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser CERT-Bund Kurzinfo repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für die Fälle der Verletzung von Leben, Körper und Gesundheit sowie von Vorsatz oder grober Fahrlässigkeit, ausgeschlossen.

Die CERT-Bund Kurzinfos dürfen nur kopiert und weitergegeben werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht.

Für die Versionen 6 + 7 des Content-Managment-System Drupal stehen Updates zur Verfügung die schnellstmöglich installiert werden sollten.
Es besteht ansonsten die Gefahr, dass Angreifer bekannte Sicherheitsücken ausnutzen. Die Updates tragen die
Versionsnummern 6.29 respektive 7.24 und stehen auf der Drupal-Seite zum Download bereit.

Eine Liste mir den bekannten Sicherheitslücken findet ihr hier

Sehr geehrte Damen, sehr geehrte Herren,

neben zahlreichen Fehlerbereinigungen wurde mit Roundcube 0.9.5. eine bekannt
gewordenen Sicherheitslücke geschlossen.
Roundcube wurde auf
sämtlichen Serversystemen auf die Version 0.9.5 gebracht

Interessierte finden das Changelog hier

Verschiedene Schwachstellen erleichtern auch nicht authentisierten Angreifern die Durchführung von Angriffen auf Benutzer der Anwendung. Insbesondere werden hochgeladene Dateien unzureichend gefiltert oder bestimmte kritische Dateitypen werden nicht abgelehnt.

Kunden die Wordpress einsetzten sollten Ihre Installation schnellstmöglich auf die Version 3.6.1 bringen.

Interessierte Kunden finden wie immer auf ein Changelog

Sehr geehrte Damen, sehr geehrte Herren,

wegen einer bekannt gewordenen Sicherheitslücke vor Version 0.9.4 wurde Roundcube auf sämtlichen Serversystemen auf die Version 0.9.4 gebracht

Interessierte finden das Changelog hier