PHP 5.6 bei goneo nur noch bis 31.7.2019

Wer als Kunde von goneo noch eine oder mehrere Websites mit PHP 5.6 betreibt, sollte jetzt handeln. PHP 5.6 hat seit Jahresende 2018 den Status end of life. Das bedeutet: Die Herausgeber werden den Entwicklungszweig 5 nicht mehr weiterverfolgen und keine weiteren Versionen unter PHP 5 herausgeben.

Aktuell ist PHP 7, das bei goneo seit einiger Zeit als PHP 7.1 und 7.2 verfügbar ist.

Releases, die offiziell nicht mehr unterstützt werden, stellen für Webseitenbetreiber durchaus ein Risiko dar. Daher haben wir uns bei goneo dafür entschieden, PHP 5.6 ab 31.7.2019 aus dem Angebot der PHP-Versionen, mit denen Webhosting-Kunden den Webserver betreiben können, zu entfernen.

Dies bedeutet für Webseitenbetreiber, die aus den verschiedensten Gründen auf PHP 5.6 angewiesen sind, jetzt zu handeln. Handelt es sich um eine Open-Source-Anwendung wie WordPress, Joomla, TYPO3, Drupal usw., ist die Chance groß, dass diese Anwendung auch unter PHP 7.x funktioniert. Dies gilt zunehmend auch für Plugins, Erweiterungen, Themes, Templates.

Handelt es sich um individuell erstellte Software oder Skripte, solltest du nun Kontakt zum Autor oder Programmierer aufnehmen. Plane bitte entsprechende Vorlaufzeit ein. Die wenigsten Entwickler sind derzeit unterbeschäftigt.

In diesem Artikel haben wir noch einmal einige wesentliche Informationen zu den aktuellen PHP-Versionen zusammengestellt.

Schütze dich auch vor schädlichen PDF-Anhängen

Fast jeder hat in vergangenen Spam-Wellen schon Mails mit einem Anhang erhalten. Die Betreffzeile suggeriert oft, dass es sich um eine Bestätigung für eine Bestellung handelt, deine eingegangene Zahlung oder Kontobelastung.

Mail mit drohendem oder extrem vielversprechendem Betreff?
Klicke nicht sofort auf den Mailanhang! Zähle erst langsam rückwärts: 10…0

In vielen Fällen handelte es sich um Anhänge mit Dateien im Word-„docx“-Format. Diese Anhänge sind toxisch, denn solche Word-Dateien können Makros enthalten, die auf dem Computer, auf dem sie geöffnet werden, ausgeführt werden. Zwar warnt die Word-Anwendung vor solchen Dateien, doch leider ist man als User schnell geneigt, diese Warnung zu ignorieren und einen fatalen Klick zuviel auszuführen.

„Schütze dich auch vor schädlichen PDF-Anhängen“ weiterlesen

Promi-Doxing 2019: Welche Lerneffekte wir daraus gewinnen können

2019 ist erst ein paar Tage alt und schon gab es einen heftigen Datenschutzskandal. Darüber reden wir in Podcast-Episode 63, vor allem über Möglichkeiten, was du persönlich unternehmen kannst, um deine Daten und auch die anderer Leute besser zu schützen.

Überprüfe doch mal, ob deine E-Mailadresse vielleicht auch schon im einen oder anderen Datenleak aufgetaucht ist: 
https://haveibeenpwned.com/

Schon im Dezember (2018) hat jemand über Twitter geleakte Informationen, sensible personenbezogene Daten gestreut.  Betroffen sind über 900 Politiker aller Ebenen, also Abgeordnete, Funktionsträger in Parteien, aber auch Künstler, Youtubestars, Medienleute in unterschiedlichem Maß. 

Neues WordPress-Update beseitigt endlich Mediamanagement-Sicherheitsproblem

Im Artikel „WordPress lässt Lücke ungepatcht“ beschrieben wir ein Sicherheitsproblem, das eine Software-Security-Firma vor etwas mehr als einem halben Jahr an das WordPress-Security-Team gemeldet hat: Wenn jemand einen Autor-Account nutzen kann, kann man durch gezielte Manipulation der Datenbank in Zusammenhang mit Vorschaubildern („Thumbs“) Dateien löschen, die sich außerhalb des Mediaverzeichnisses befinden.
So könnte man etwa die wp-config.php-Datei entfernen und WordPress zu einer Neuinstallation zwingen. Damit wäre es möglich eine Datenbankverbindung anzugeben, die man als Angreifer selbst unter Kontrolle hat. So übernimmt man dann den Serveraccount, auf dem WordPress läuft.
Diese Privacy Escalation ist aber nur für User möglich, die Zugang als Autor haben, also mindestens die Rechte besitzen, Mediendateien hochzuladen, zu löschen und zu bearbeiten.
In den letzten 24 Stunden hat WordPress nun eine Version 4.9.7 ausgerollt, so dass viele Installationen heute ein automatisches Update vermeldet haben. Daneben sind nach Angaben verschiedener Onlinemedien weitere siebzehn Bugs behoben worden.
Wer in WordPress die automatische Updatefunktion deinstalliert hat, sollte nun die Routine selbst anwerfen und das System aus Sicherheitsgründen auf den neusten Stand bringen.
Als neuen Funktion, die auch für reine Bediener interessant sein könnte, erlaubt WordPress 4.9.7 nun im Adminmenü der Widgets, basale HTML-Tags in Sidebar-Descriptions zu verwenden.

Sicherheit: WordPress lässt Lücke ungepatcht

Es ist eine Lücke in aktuellen WordPress-Versionen bekannt geworden, die bereits vor sechs Monaten entdeckt worden ist. Damit können unter Umständen Fremde Dateien in einer Installation löschen, auch kritische Dateien wie zum Beispiel .htaccess, index.php oder auch die wichtige wp-config.php. Im letzteren Fall führt WordPress praktisch eine Neuinstallation aus, die dann manipuliert werden kann. Für das Problem gibt es keine Lösung von WordPress, nur einen Hotfix einer Sicherheitsfirma.  „Sicherheit: WordPress lässt Lücke ungepatcht“ weiterlesen

Erneut Updates für virtuelle Server

Es scheint sich ein Trend abzuzeichnen, dass sich gerade für servernahe Software wie Betriebssysteme, Module und ähnliche Komponenten die Zeit zwischen zwei Updates beziehungsweise Releases verkürzt.
Eben erschien aktualisierte Software für virtuelle Server so dass in diesem Fall nun  Servereinheiten gewartet werden müssen, mit denen goneo die Produktreihen „goneo Webserver Business“ und „goneo Webserver“ realisiert.
Wir möchten diese Updates kurzfristig einspielen, legen aber die Arbeiten gezielt in eine auslastschwache Zeit.
Der Termin für diese Maßnahmen ist Sonntag, 6.5.2018. Unsere Teams nehmen die Arbeiten in der Zeit von 3:00 Uhr bis 5:00 Uhr vor.
Eine Folge ist, dass jeder virtuelle Server wird kurzzeitig nicht zu erreichen sein wird.Wir rechnen mit einer Nichterreichbarkeitsdauer von je 20 bis 30 Minuten. Die E-Mail-Kommunikation über die Mailserver von goneo ist davon nicht betroffen.

Joomla 3.8.7 neu in goneo-clickStart-Webanwendungen

„goneo clickStart“ heißt das Feature, mit dem goneo-Webhosting-Kunden ganz schnell viele wichtige und oft eingesetzte Webanwendungen installieren können.
Damit entfällt die Suche nach der aktuellen Version, einer deutschen Variante und die zeitraubende Download-Entpack-Hochlade-Prozedur. Auch die Installationsroutine führt das clickStart-Tool aus und richtet die Anwendung startbereit ein.
Für das bekannte Content Management System Joomla gab es kürzlich ein Serviceupdate. Nun wird die Version 3.8.7 aufgespielt, wenn man goneo clickStart benutzt. Anwendern, die bereits Joomla im Einsatz haben, sollten umgehend ihr System auf Version 3.8.7 updaten. Auf dieser Seite bei Joomla gibt es entsprechende Update-Pakete.

Noch ein wichtiges Update für Drupal (neu: 8.5.3)

Wie verschiedene Tech-Onlinemedien melden (z.B. Heise Security oder T3N), ist eine Sicherheitslücke in Drupal bekannt geworden.
Wichtig ist, dass Drupal User möglichst schnell das Update einspielen. Betroffen sind Versionen unter Drupal 7, 8.4 als auch 8.5. Die aktuelle Version lautet 8.5.3 und ist auf Drupal.org zum Download bereit.

  • Drupal 7.x sollte auch Drupal 7.59 geupdated werden
  • Drupal 8.5.x, sollte auf Drupal 8.5.3 geupdated werden
  • Drupal 8.4.x (eigentlich nicht mehr unterstützt), sollte auf Drupal 8.4.8. geupdated werden)

Die neu gefundenen Lücke ist die zweite in kurzer Folge, nachdem bereits am 28.3.2018 ein kritisches Problem gemeldet wurde. Die Ende März gemeldete Lücke SA-CORE-2018-002  muss bereits gepatcht sein, damit die neuen Patches wirken.
Sollte die Drupal Seite schon gehackt sein, könnten diese Tipps von Drupal helfen.
 

Joomla empfiehlt Update auf Version 3.8.6

Vor kurzem hat Joomla eine neue Bugfix-Version mit der Nummer 3.8.6 veröffentlicht und empfiehlt, auf diese Version upzugraden. Dies sollte mittels der eingebauten Updatefunktion möglich sein. Ansonsten kann man die neuste Joomla-Version hier herunterladen (als Update- oder Vollinstallationspaket).
Mit 3.8.6 wird auch ein Sicherheitsproblem gelöst, das als „low priority“, aber mit „impact: high“ beschrieben wurde: https://developer.joomla.org/security-centre/723-20180301-core-sqli-vulnerability.html
Offenbar gibt es eine Lücke bei der Typenbehandlung in „User Notes“. Betroffen sind die Versionen  3.5.0 bis 3.8.5. Auch das BSI sprach eine Update-Empfehlung aus.  Ein Angreifer müsse zur Ausnutzung der Sicherheitslücke gültige Zugangsdaten für Ihre Joomla!-Webseite besitzen und die Möglichkeit haben, auf die Verwaltungsoberfläche zuzugreifen, heißt es.