Drupal warnt vor Sicherheitslücke in „SVG Image“-Modul

Die Drupal Erweiterung „SVG Image“ (siehe https://www.drupal.org/sa-contrib-2020-008) ist anfällig für Cross-Site-Scripting-Attacken. Davor warnt das Drupal-Projekt auf seiner Website: https://www.drupal.org/sa-contrib-2020-008

Mit einem eben erschienenen Update wird das Problem beseitigt, heißt es. Kritisch ist, wie Heise auch berichtet, dass mit diesem Modul Useruploads möglich sind, wobei keine ausreichende Code-Prüfung stattfindet, so dass Scriptcode nach dem Uplaod eventuell zur Ausführung gebracht werden kann.

Es handelt sich um eine recht beliebte Erweiterung, mit der man Bilder und Grafiken im SVG.-Format einbinden kann. Drupal berichtet von 21.629 Sites, die dieses Modul einsetzen. Fast 250.000 Downloads hat man gemessen.

Mögliche Angriffe auf WordPress-Plugins „Async JavaScript“, „Modern Events Calendar Lite“, „10Web Map Builder for Google Maps“ und “ Flexible Checkout Fields for WooCommerce“

Wordfence, Herausgeber von Sicherheitsplugins und Anbieter entsprechender Dienste für WordPress warnt vor einigen weiteren möglicherweise verletzbaren Plugins.

Es handelt sich dabei um die folgenden Plugins. Die meisten Pluginautoren haben reagiert und bieten inzwischen Updates an:

  • „Async JavaScript“,
    ➡️ Pluginseite, mehr als 100.000 Installationen
  • „Modern Events Calendar Lite“,
    ➡️ Pluginseite, 40.000 Installationen
  • „10Web Map Builder for Google Maps“ ,
    ➡️ Pluginseite, mehr als 20.000 Installationen
  • “ Flexible Checkout Fields for WooCommerce“,
    ➡️ Pluginseite, mehr als 20.000 Installationen
„Mögliche Angriffe auf WordPress-Plugins „Async JavaScript“, „Modern Events Calendar Lite“, „10Web Map Builder for Google Maps“ und “ Flexible Checkout Fields for WooCommerce““ weiterlesen

Plugins bringen Risiken für WordPress-Installionen

Wordpress Code is poetry Lanyard

WordPress ist mit einem Marktanteil von mittlerweile über 35 Prozent ein überaus lohnendes Ziel für Angreifer. Damit lohnt es sich, nach Lücken zu suchen, Angriffsszenarien zu entwickeln und zu skalieren: Einmal gefundene Angriffsvektoren kann man auf sehr viele WordPress-Installationen anwenden. Meist geht es darum, die Installation zu hacken, um sie unter Kontrolle zu bekommen.

Typischerweise ergaunern sich die Angreifer so entweder die Admin-Berechtigung oder sie schaffen es, aus der Ferne Code auszuführen, der die WordPress-Installation fernsteuert. Damit kann man dann zum Beispiel Spam versenden, Phishingseiten aufbauen oder Daten abgreifen. Gerne wird auch ein spammiger Redirect auf irgendeine Shopseite ausgelöst.

Wie die Situation aktuell aussieht und wo Ansatzpunkte für besseren Schutz zu finden sind, steht in diesem Blogartikel.

„Plugins bringen Risiken für WordPress-Installionen“ weiterlesen

goneo ist erneut Top20 Provider in Deutschland – laut Hosttest

goneo Hosttest Top 20 Provider Januar 2020

Das unabhängige Vergleichportal Hosttest, in der Tech-Szene bekannt für die Verfügbarkeitsmessungen von Servern, ermittelt aus diversen Kriterien wie Verfügbarkeit, Profilabruf und Bewertungen monatlich einen Score für jeden untersuchten Hostingprovider. Auf Grundlage dieses Scorings stellt Hosttest eine monatlich aktualisierte Top20-Liste zusammen.

Auch bei den Verfügbarkeitsmessungen (um die 3.000 einzelne Tests in 30 Tagen) konnte goneo erneut punkten. Die getesteten Server waren zu 100 Prozent erreichbar.

Ergebnis von ca. 3.000 Einzeltests (Aufruf einer URL alle 15 Minuten mit positiver Server-Response. Der Test von hosttest.de gilt als einer der umfangreichst und aussagekräftigsten im deutschsprachigen Raum. Zum Profil von goneo: https://www.hosttest.de/webhoster/goneo

Die sogenannte Verfügbarkeit ist ein Kriterium, das die Zuverlässigkeit eines Dienstes widerspigelt. Idealerweise sind Server durchgängig an sieben Tagen in der Woche durchgehend für 24 Stunden erreichbar. Grundsätzlich gibt es die Möglichkeit, dass Server ausfallen, etwa durch Überlastung (zu viele Zugriffe) oder durch Absturz des Betriebssystem oder Hardwarekomponenten wie I/O-Controller, HD, SSD- Speicher, RAM-Defekte oder Stromausfall. Diese Risiken lassen sich durch gezieltes Qualitätsmanagement minimieren, u.a. durch klare Software-Release-Policies, proaktive Serverwartungen, die bei goneo in Zyklen organisiert sind oder durch Redundanz wie dem Einsatz von RAID-Spiegelungen. Zusätzlich fährt goneo tägliche Backups, um im Falle von Havarien Destaster-Recoveries zu ermöglichen.

Magento: Adobe rät zum Update

Auch für diverse Versionen der E-Commerce-Software Magento sind Updates verfügbar. Damit sollen, so Adobe (mittlerweile im Besitz der Magento-Software) kritische Lücken geschlossen werden. Unter Magento gibt es mittlerweile Versionen, die weiter unter Open-Source-Lizenzen herausgegeben werden, aber auch proproetäre Closed-Source-Versionen.

Als Angriffsvektoren werden bei Adobe im Security Bulletin Deserialisierung, Cross-Site-Scripting, SQL-Injection und Path-Traversal genannt.

Betroffen sind die Open-Source-Versionen 2.3.3 (und früher), 2.2.10 (und früher), die Community Edition 1.9.4.3 sowie sowie auch die proprietären Releases Magento Commerce mit gleichen Versionsnummern (2.3.3, 2.2.10) und die Enterprise Edition 1.14.4.3. Für die genannten Releases gibt es Updates, wobei dafür die Releasenummern in der letzten Stelle jeweils um 1 weiter gezählt wurden.

Sicherheitsprobleme mit WordPress-Plugins „DatabaseReset“, „WP Time Capsule“, „Infinite WP“

Verschiedene Quellen berichen aktuell von mindestens drei Sicherheistlücken in drei verschiedenen, oft eingesetzten WordPress-Plugins: DatabaseReset, WP Time Capsule und Infinite WP. Wer diese verwendet, sollte schnell updaten.

„Sicherheitsprobleme mit WordPress-Plugins „DatabaseReset“, „WP Time Capsule“, „Infinite WP““ weiterlesen

Deshalb brauchst du das Update auf WordPress 5.3.1 … nein 5.3.2 ! (aktualisiert)

WordPress hat Release 5.3.1 veröffentlicht. Viele Probleme wurden korrigiert.
Sicherheits-Update: Stelle sicher, dass deine WordPress-Installation nun die Releasenummer 5.3.1 hat.

Ganze 46 Bugfixes und Patches sind in das WordPress-Release 5.3.1 eingeflossen. Nun ist nur eineinhalb Tage später gleich das nächste Update mit der Nummer 5.3.2 hinterhergeschoben worden. Wichtig sind in 5.3.1 vier korrigierte Sicherheitsprobleme:

  • User ohne entsprechende Berechtigung konnten einen Post „sticky“ machen, so dass dieser stets oben angezeigt wurde. Dies war über die REST API mnöglich.
  • Cross-Site-Scripting (XSS)-Angriffe waren mit „well-crafted“, also entsprechend präparierten Links möglich.
  • Das wp_kses_bad_protocol() hat ein Update erfahren und wurde gegen Angriffe gehärtet.
  • Mit dem Block Editor und gespeicherten Inhalten waren unter Umständen ebenfalls XSS-Angriffe machbar.

Ansonsten gab es auch einige Fixes, die eher in die Kategorie „Stabilisierung“ fallen und nicht sicherheitsrelevant sind:

  • Verbesserung bei der Verwaltung von Form (Höhen- und Anordnungs-Kontrolle)
  • Ergänzung des entsprechenden Dashboard -Widgets durch einen Links zur Verwaltung eines alternativen Farbschemas (bessere Zugänglichkeit)
  • Lösung von Javascript-Problemen bein Edge-Scrolling
  • Bei gebundleten Themes kann man nun entscheiden, ob die Autoreninfos (Bio) angezeigt werden sollen.
  • Das Javascript-basierte smooth Scrolling wurde nun auf CSS umgestellt.
  • Beseitigung von CSS-Darstellungsproblemen bei Einbettungen von Instagram-Elementen
  • Verbesserung der Berechnung und Darstellung von nicht-GMT-Datenangaben
  • Stabilisierung der make get_permalink()-Funktion bei Zeitzonenänderungen in PHP
  • Entfernung von CollegeHumor (oEmbed Provider) – diesen Service gibt es nicht mehr
  • Update der sodium_compat-Bibliothek (Krypto-Funktionen in PHP)
  • Verbesserung bei Site Health: Die Intervalangaben für Erinnerungen per Mail können nun gefiltert werden
  • Gleichnamige Thumbnail-Uploads überschreiben nun keine existierenden Dateien mehr
  • Bilder im PNG-Format werden von einer automatischen Skalierung nach Upload ausgenommen.
  • Die Administration der E-Mail-Prüfung bezieht sich nun auf die Userangaben, nicht auf die hinterlegte Variable für die Website.

Wenn die automatische Updatefunktion nicht abgeschaltet ist, werden existierende WordPress-Installationen dieses Release automatisch einspielen. Wer sichergehen will, überprüft auf dem WordPress-Dashboard die Installation. Dort lässt sich ein Updatelauf jederzeit auch manuell anstoßen.

Nun folgt eine weiteres „Maintenance Update“, wie wordPress.org sich ausdrückt, mit der Nummer 5.3.2:

  • get_feed_build_date() korrigiert fehlerhafte Daten besser
  • Bei Uploads ist die Handhabung bei Namenskolissionen von Dateien verbessert worden (in wp_unique_filename() )- Probleme traten wohl auf, wenn Groß- und Kleinschreibung verwendet wurde, aber das Dateisystem dies nicht unterscheidet.
  • Im Media-Manager wurde ein Problem in Verbindung mit PHP-Warnmeldungen in wp_unique_filename() gelöst (wenn das Zielverzeichnis nicht lesbar ist)
  • Ein Farbschemaproblem, das in Verbindung mit Buttons in der .active class auftrat, ist korrigiert
  • Bei wp_insert_post() wird der Unterschied zweier Versionen (bei Veröffentlichungsterminen in der Zukunft) nun korrekt berechnet.

Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter

2fa goneo kundencenter

Ab sofort können goneo-Kunden den Zugriff auf das wichtige Kundencenter doppelt schützen. Zusätzlich zur Eingabe eines Passworts fragt das System nach einem weiteren Code, der auf einem anderen Kanal übermittelt wird, nämlich von einer App. Das schützt den Zugang vor böswilligen, unberechtigten Zugriffen.

„Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter“ weiterlesen

Vorsicht Phishing Mails

Achtung, Phishingmails unterwegs.

Es mehren sich die Anfragen von Kunden bei uns wegen E-Mails, die auf angeblich eingegangene Nachrichten im goneo-Postfach hinweisen. Der Empfänger wird aufgefordert einem Link zu folgen, der über diverse Weiterleitung auf fremde und offensichtlich gehackte Server leitet. Dort soll der User sich identifizieren, um seine angeblich eingegangenen Nachrichten zu lesen.

Diese Mails stammen nicht von goneo. Wir bitten alle, die eine solche Mail erhalten haben, diese als Spam zu behandelt und den enthaltenen Links nicht zu folgen.

Unser Kundendienst verfolgt die Angelegenheit, um den Missbrauch zu unterbinden.