Sicherheitslücken in Joomla gefunden

Sicherheitsfixes Joomla

In einem „Security-Announcement“ teilt Joomla mit, dass folgende Versionen von Joomla Sicherheitsprobleme aufweisen, die dazu unter Umständen dazu führen können, dass auch sensible Informationen ungewollt veröffentlicht werden:

Die betroffen Releases tragen die Versionsnummern: 1.6.0 bis 4.4.0 sowie 5.0.0, die bislang aktuellste Hauptversion.

Joomla 1.6 ist aus dem Jahre 2011. Die Hauptreleases Joomla 3, Joomla 2.5, Joomla 1.5 und Joomla 1.0 gelten als „nicht mehr unterstützt„, erhielten aber Fixes ab 3.10 für Releases im Extended Long Term Support (ELTS).

So wird die Sicherheitslücke bewertet

Die Wahrscheinlichkeit wird als gering dargestellt, dafür sind die möglichen Schadwirkungen und die Schwere des Problems groß. Es gibt in Joomla einen Parser-Prozess für Sprachdateien. Dieser könnte manipuliert werden, um Umgebungsvariablen freizulegen. Diese Umgebungsvariablen können sensible Informationen enthalten. Dies sind Variablen in der Software der Webanwendung, die Pfade oder Daten beinhalten. Damit können geheime Informationen für Erweiterungen und externe Aufrufe gespeichert werden.

Es handelt sich für gewöhnlich um einfache Zeichenketten, nicht um Programmcode, doch könnten diese eben auch zum Beispiel Zugangsinformationen für externen Dienste beinhalten.

Fixes und Empfehlungen

Allerdings sind die Probleme schon behoben:Seit 21.11.2023 gibt es eine Lösung. Joomla empfiehlt je nach Anwendungsversion ein sofortiges Upgrade auf die Joomla-Releases 3.10.14-elts, 4.4.1 beziehungsweise 5.0.1.

Bildquelle: Joomla!
https://www.joomla.org/announcements/release-news/5901-joomla-5-0-1-and-4-4-1-security-and-bug-fix-release.html

Nicht jeder will die Mailzugangsdaten in der Cloud abspeichern

produced with dalle e3 "A combination of real clouds in the sky and servers to show cloud computing"

Die E-Mail-Anwendung im Windows-Betriebssystem von Microsoft bekommt einen Nachfolger. Dieser wird wie die allseits bekannte Microsoft-Mailanwendung ebenfalls „Outlook“ heißen.

Wie schon bei Windows Mail lassen sich mit auch im neuen „Outlook“ andere E-Mail-Konten als die hauseigenen Hotmail.com- oder outlook.de-Adressen einbinden. Doch es gibt einen bemerkenswerten Unterschied zur der alten Anwendung im Umgang mit den Zugangsdaten. Dazu gibt es nun auch ein Update mit einer Erklärung von Microsoft.

Ein empfohlenes Update zum Testen

Die Zugangsdaten, also Mail-Username und Passwort werden dann bei Outlook in der Cloud von Microsoft gespeichert, nicht nur wie bisher lokal in Windows oder in der Anwendung selbst. Das hat zuerst der deutsche IT-Verlag Heise in seinen Publikationen nach einem eigenen Test berichtet und auf verschiedene Risiken hingewiesen.

Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook | heise online 🌎

„Nicht jeder will die Mailzugangsdaten in der Cloud abspeichern“ weiterlesen

SPF: Was tut das Sender Policy Framework?

Email Spam Flut

Das Sender Policy Framework (SPF) soll helfen, Spam einzudämmen. Das wirkt wie eine Herkulesaufgabe.

Laut Statistiken verbringt der durchschnittliche Mitarbeiter täglich 13 Minuten damit, Spam-E-Mails zu sichten und zu löschen. Diese vermeintlich kleinen Zeitaufwände summieren sich über die Zeit zu großen Zahlen und verursachen entsprechende Produktivitätsverluste. Darüber hinaus birgt Spam erhebliche Sicherheitsrisiken, da er oft als Vehikel für Malware und Phishing-Angriffe dient. Die Kosten für die Bewältigung von Spam und seine negativen Konsequenzen sind beträchtlich.

Wirksamkeit von SPF

Statistiken zeigen, dass SPF eine wirksame Methode ist, um den Zustrom von Spam zu reduzieren. Laut einer Studie des Anti-Phishing Working Group (APWG) führte die korrekte Implementierung von SPF zu einer durchschnittlichen Reduzierung von Spam um 68,9%. Dieser signifikante Rückgang macht deutlich, welchen Beitrag SPF zur Reduzierung von Spam leisten kann.

„SPF: Was tut das Sender Policy Framework?“ weiterlesen

Vorsicht Phishing, 2023!

Warnung vor Phishing

Zur Zeit verzeichnen wir massiv viele Versuche, Kunden mit gefälschten Mails auf gefälschte Webseiten zu locken. Diese Webseiten sind den Login Seiten von goneo nachempfunden. Wer dort dann seine Zugangsdaten eingibt, ist Opfer einer Phishing-Attacke geworden. So schützt du dich:

Wenn eine Mail dich auffordert, auf einen Link oder einen Button in der Mail zu klicken, damit du dann irgendwelche Daten überprüfen kannst, sein vorsichtig! Nutze nur die dir bekannten Adressen: www.goneo.de (Login von der Startseite aus), kundencenter.goneo.de oder webmail.goneo.de, wenn es um E-Mail gehen sollte.

Phishing-Versuche kommen immer wieder vor. Doch KI hat auch in der Phishing-Szene Einzug gehalten, so dass bekannte Erkennungsmerkmale wie merkwürdige Formulierungen, grammatische Fehler, Rechtschreibfehler, ungewohnter Sprachgebrauch etc. viel seltener vorkommen.

Der stärkste Hinweise auf eine gefälschte Mail ist die tatsächliche Absenderadresse. Leider ist diese in vielen Mailprogrammen nicht auf den ersten Blick erkennbar. Denn neben der tatsächlichen Absendeadresse gibt im globalen Mailsystem die Möglichkeit, einen lesefreundlichen Absendernamen zu nutzen. Doch dies kann ein beliebiger Name sein, so dass man damit Nutzerinnen und Nutzer täuschen kann.

Ein anderer Hinweis ist die Zieladresse, die hinter einem Link oder Button verborgen ist. Diese verweist auf irgendeinen Server irgendwo in der Welt, wobei dann oft eine Reihe von Weiterleitungen (redirects) ausgeführt werden. Die Besitzer der Webseite, die da letztlich angesteuert wird wie auch der Besitzer der Mailbox, von der aus der Spam versendet wird, sind in aller Regel ebenfalls Opfer von Cyberattacken.

Wie man Phishing-Versuche dennoch erkennen kann

Man muss heuet viel genauer hinsehen und den Absender der Mail anhand der Adresse überprüfen. Diese Phishing-Versuche treffen goneo und alle anderen Provider, auch die, die gänzlich andere Dienste anbieten (Telefongesellschaften, Banken, Stromversorger…).

Richtig ist, dass wir Mitteilungen versenden, sollte es irgendwelche Probleme geben (was immer vorkommen kann). Doch in jedem Fall wird – sollte es eine Angelegenheit dieser Art geben – das Ganze im Kundencenter zu regeln oder nachzuverfolgen sein.

Wir empfehlen also, sich auf unserer Webseite unter https://www.goneo.de/ einzuloggen. Wer den Weg über die Startseite von goneo nicht gehen will, nutzt für das Kundencenter https://kundencenter.goneo.de

Noch ein Tipp: Die Aktivierung der Zwei-Faktor-Authentifizierung für das goneo-Kundencenter schafft eine weitere Sicherheitsebene.

Was kann man gegen Phishing noch tun?

Es ist möglich, den Angriff und den Betrugsversuch zu melden. Das BSI hat weitere Informationen zu Erkennung und Vorsichtsmaßnahmen.

Hier gibt es einen Service, mit dem man Internetadresse prüfen kann. Bereits bekannte Phishing-Seiten werden damit erkannt.

„Sicherheit“, der neue Menüpunkt im goneo-Kundencenter

Webworker freuen sich über neue Sicherheitsfeatures für das goneo Kundencenter

Ab sofort findest du einen neuen Menüpunkt im goneo-Kundencenter. In der linken Spalte gibt es nun einen Link mit der Beschriftung „Sicherheit“.

Screenshot Kundencenter mit neuem Menüpunkt „Sicherheit“

Hier haben wir nun einige Sicherheitsfunktionen gebündelt. Damit hast du nun einen schnelleren und einfacheren Zugriff auf die entsprechenden Features.

Du kannst hier das Passwort für das Kundencenter ändern

Das bezieht sich nur auf den Login für das Kundencenter, nicht für Email, nicht für SFTP und so weiter.

Du kannst hier die Zwei-Faktor-Authentifizierung einrichten

Damit kannst du eine App einrichten, mit der du beim Anmeldeversuch einen weiteren Code bekommst.

Neu: Wir zeigen dir hier die Login-Historie

Damit kannst du nachverfolgen, welche Anmeldungen passiert sind. Wenn du hier Logins siehst, die du nicht kennst, dann ist das ein Warnzeichen und du solltest die Zugangsdaten ändern.

„„Sicherheit“, der neue Menüpunkt im goneo-Kundencenter“ weiterlesen

goneo E-Mail nur noch mit Transport Layer Security 1.2 und höher

DALL·E 2023-08-18 13.47.47 - A criminal hacker is trying to intrude into a computer system to read unencrypted email messages. Landscape format

Am 1.10.2023 möchten wir bei goneo veralte Versionen des Verschlüsselungsprotokoll entfernen, vor allem aus Sicherheitsgründen. Versionen, die eine Releasenummer kleiner als TLS 1.2 haben, werden von den E-Mail-Servern nicht mehr unterstützt.

TLS 1.0 wurde 1999 eingeführt, weist also ein eher biblisches Alter auf. Die Version 1.1 kam 2006. Inzwischen sind also Jahrzehnte vergangen. Zeit für ein Update.

Was das bedeutet, liest du hier (Spoiler: Höchstwahrscheinlich betrifft es dich nicht).

„goneo E-Mail nur noch mit Transport Layer Security 1.2 und höher“ weiterlesen

Noch ein weiteres WordPress Sicherheits-Release (6.2.2)

DALL·E 2023-05-23 - workers repair holes in a futuristic machine made of digital code fragments

Erst am 16.5.2023 erschien WordPress 6.2.1 als „Maintenance- und Security Release“, also ohne neue Features, aber mit einigen kleineren Reparaturen im Code und geschlossenen Sicherheitslücken.

Nun folgte am 20.3.2023 schon ein „Rapid Response Release“ als Version 6.2.2, mit der erneut mindestens eine Sicherheitslücke geschlossen werden sollte.

Offenbar war dieses Thema schon für 6.2.1 vorgesehen, benötigte aber wohl noch mehr Aufmerksamkeit. Um welches Problem es sich dabei handelt, bleibt unklar.

Das Update repariert offenbar auch frühere WordPress-Hauptversionen zurück bis 5.9. In der Regel sollte sich WordPress automatisch aktualisieren, es sei denn eigene Einstellungen, Caches oder CDNs verhindern dies.

Sowohl 6.2.2 als auch schon 6.2.1 wurde außerhalb der ursprünglichen Planung veröffentlicht. Man darf also davon ausgehen, dass Eile geboten war.

Als regulär geplantes Update ist WordPress 6.3 für den August 2023 vorgesehen.

Sicherheitslücke in „Elementor Essential Addons“

Der Securityserviceanbieter Patchstack meldet eine kritisches Sicherheitsproblem mit dem WordPress-Plugin Elementor Essential Addons.

Angriffsvektor Privilege Escalation

Angreifer können Passwörter ersetzen, sofern ihnen der Nutzername bekannt ist. Damit lässt sich die WordPress Installation übernehmen. Es gibt ein neues Release mit der Nummer 5.7.2, das sofort eingespielt werden sollte. Damit wird die Lücke, die am 8.Mai 2023 gefunden wurde, geschlossen.

Elementor ist ein Plugin für WordPress, das weitere Seitengestaltungsmöglichkeiten eröffnet. Zu diesem Plugin gibt es teils kostenlose Addons mit weiteren Zusatzfunktionen. Eines dieser Addons ist Essential Addons.

Elementor Essential Add On im WordPress Plugin Verzeichnis

Laut des WordPress Org – Pluginverzeichnisses wurde Elementor Essential Addons mehr als eine Million Mal installiert. Entsprechend viele Websites dürften betroffen sein.

Diese Sicherheitslücke bekam die Kennung CVE-2023-32243.

Erneut bestätigt: Verfügbarkeit 100% im Februar 2023

goneo Officebuilding in Minden, Westfalen, Deutschland.

Optimale Verfügbarkeit auch im Februar 2023: goneo konnte im unabhängigen Verfügbarkeitstest von Hosttest wieder überzeugen. goneo-Kundenserver waren durchgängig erreichbar. Das ergaben Tausende Einzeltests. Das bringt goneo erneut in die Hosttest-Top-20-Liste.

Warum ist es wichtig, dass eine Website durchgängig verfügbar ist ?

Experten sprechen von einer positiven User Experience, die leiden wird, wenn eine Website nicht verfügbar ist. In der Praxis heißt das, es erscheint eine Fehlermeldung, wenn man einem Link folgt oder die Domain direkt eingibt. Dann verlieren Userinnen und User Vertrauen in das Unternehmen oder die Organisation.

Direkt abhängig davon ist der Umsatz oder allgemein die Anzahl der Transaktionen, die man mit einer Website erreichen will.

goneo tut alles, um die Kundenwebsites 24/7 verfügbar zu halten

goneo Server waren im Februar 2023 rund um die Uhr erreichbar.
  • 24/7 Monitoring
  • Netzwerk-Redundanz
  • Peerings
  • Aktive Malwarescans
  • Prozess- und Qualitätszertifizierungen
  • Periodische Updateprozesse zur Systempflege

Allerdings gibt es viele Ursachen für einen Ausfall einer Website.

Nicht alles hat ein Hosting-Provider unter Kontrolle

Wenn eine Website nicht verfügbar ist, kann das viele Gründe haben:

  • Mangelnde Serverleistung angesichts der zu erwartenden Serverlast
    Als Hoster hat man dies unter Kontrolle. Überlastungen versuchen wir in jedem Fall durch proaktives Servermanagement zu verhindern. Wichtig ist hier, den Server nicht durch zu hohe Dichte an Kundenwebsites zu überlasten.
  • Der Server wird angegriffen (DDoS)
    Hier werden Websites gezielt durch Überlastung durch sinnlose Anfragen von Hunderten bis Tausenden Servern irgendwo auf der Welt lahmgelegt. Solche Attacken lassen sich sogar im Dark Net einkaufen. Natürlich ist das illegal, Dennoch gibt es viele solcher Versuche. Es gibt einige Möglichkeiten, dagegen Maßnahmen zu ergreifen, doch vorhersehbar sind die Angriffe nicht.
    Im Shared-Hosting-Konzept kann durch angegriffene Servernachbarschaft die Websiteperformance leiden. Managed Server als Alternative zu einem Webhosting-Paket bringen mehr Sicherheit.
  • Ausfall des Netzwerks, etwa durch defekte Switches, Router oder Fehler in der Konfiguration
    Diese Probleme können irgendwo im Internet auftreten. Manchmal reicht ein Bagger, der ein Glasfaserkabel durchtrennt und ganze Regionen gehen offline.
  • Konfigurationsfehler oder Softwareprobleme
    Dies passiert oft nach Updates der Webanwendungen.
  • Hacking
    Eine Website wurde gehackt, entweder gezielt oder im Rahmen einer massenhaften Ausnutzung einer bekanntgewordenen Sicherheitslücke in häufig verwendeter Webanwendungssoftware mit Bots.