Schlagwort-Archiv: Sicherheit

Joomla Updates 3.2.3 und 2.5.19 erschienen – Inkl. Datenbankschemaversion Fehler

Joomla! Open Source CMSVor ein paar Tagen erschienen die beiden Updates für das Joomla! CMS in den Versionen 2.5.19, für den aktuellen LTS (Long Term Support) und für 3.2.3, die aktuelle STS (Short Term Support) Version.

Vor allen Dingen das Update für den 3-er Strang sollt umgehend einspielt werden, das das Update eine als hoch eingestufte SQL-Injection Sicherheitslücke enthält und weitere 40 Fehler beseitigt.

Die Updates lassen sich über die in Joomla integrierte Update-Funktion im Administrationsbereich einfach einspielen. Zuvor sollte, wie immer, ein Backup erstellt werden.

Fehler nach Update auf 3.2.3: Falsche Datenbankschemaversion

Nach dem Update auf die Version 3.2.3, und nur nach einem Update auf diese Version, erscheint in der Joomla Administration im Bereich “Erweiterungen” – “Datenbank” die folgende Fehlermeldung: “Achtung: Die Datenbank ist nicht auf dem neuesten Stand!” und darunter: “Die Datenbankschemaversion (3.2.3-2014-02-20) passt nicht zur CMS-Version (3.2.3).”

Joomla3 falsche Datenbankschemaversion nach update

Da es sich hierbei um ein Darstellungsfehler (View) handelt, kann diese Meldung ignoriert werden. Weitere Informationen zum Fehler findet Ihr im Artikel Database schema version (3.2.3-2014-02-20) does not match CMS version (3.2.3). Der Fehler wird mit dem nächsten Update beseitigt. Unter Github wird ein Fix beschrieben, für den der es interessiert.

Frohes Updaten wünscht
Chefkoch

Unerwünschtes crawlen der Website durch Bots bzw. Spider verhindern

Website Crawler, auch Spider oder allgemeiner Robots bzw. Bots genannt, durchforsten das Internet und analysieren automatisch Internetauftritte um diese zu indexieren. Was bei Google, Bing und Co. erwünscht ist kann bei anderen “Besuchern” aber auch schnell zur Last werden. Dies kann, sogar im wahrsten Sinne des Wortes, schnell zur Last werden und zwar für den jeweiligen Server auf dem die Webseite gehostet wird und der ständig unter Volldampf läuft.

Um bestimmte Bots vom durchsuchen der eigenen Website auszuschließen gibt es 2 Methoden. Zum einen mit Hilfe einer robots.txt Datei und als zweite Lösung die, mit Hilfe von URL rewrite Regeln in einer .htaccess Datei.

Ich möchte deshalb nur näher auf die zweite Methode eingehen, da das befolgen der Anweisungen einer robots.txt keine Pflicht darstellt und sich einige Spider nicht daran halten. Weiterlesen

BSI Studie zum Thema Sicherheit von Content Management Systemen

Vor kurzem wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine mehr als 160 seitige Studie veröffentlicht, die den gängigen Content Management Systemen (CMS) von WordPress, Joomla!, Drupal, Typo3 und Plone auf den sicherheitstechnischen Zahn fühlt.

Untersucht wurden unter anderem einzelne Phasen des Softwarelebenszyklus, sowie Themen wie beispielsweise Protokollierungseinstellungen und Datenschutz, welche mittelbaren Einfluss auf das Sicherheitsmanagement haben.

Es wurden verschiedene Szenarien durchgespielt, um einen realen Bezug herstellen und Handlungsempfehlungen geben zu können. Szenarien waren dabei eine „Private Event Site“, ein „Bürgerbüro in einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und ein „Mittelständisches Unternehmen mit mehreren Standorten“.

Graphische Darstellung der Schwachstellen in den Erweiterungen und Basis-Installation

Bild: BSI

Eine, für viele wahrscheinlich wenig überraschende, Erkenntnis der Studie ist, das die Grundsysteme von Joomla!, WordPress und Co. Wesentlich sicherer sind als viele der von Drittherstellern angebotenen Erweiterungen. So fallen ca. 20% der gefundenen Fehler bei WordPress auf die Basis-System und die restlichen 80% auf Erweiterungen. Bei Joomla! Und TYPO3 unterscheiden sich die Zahlen mit 13% bzw. 14% Basis und 87% und 86% nur unwesentlich.

Letzten Endes sollte ein System stets aktualisiert werden und nur so viele Erweiterungen wie nötig und so wenig wie möglich installiert werden.

Viel Spaß wünscht
Chefkoch

Link zum BSI Artikel: Content Management System (CMS)

WordPress Update 3.5.2 schließt Sicherheitslücken und Bugfixes

Mit dem aktuell erschienenen WordPress Update 3.5.2 schließt das WordPress Entwicklerteam insgesamt 12 Schwachstellen und 7 Sicherheitslücken. Es handelt sich hierbei um ein Sicherheitsupdate für alle früheren Versionen, und es wird dringend angeraten, Website auf denen WordPress installiert ist, sofort zu aktualisieren.

Die Security-Fixes enthalten:

  • Cross-Site-Scripting(XSS),
  • Server-Side-Request-Forgery- (SSRF),
  • und Denial-of-Service-Attacken (DoS)

Download WordPress 3.5.2 oder ein direktes Update über das Dashboard → Updates menü im Adminbereich der WordPress Installation.

WordPress Statistik: encrypted_search_terms

WordPress Statistik: encrypted_search_termsWer einen WordPress Blog betreibt wird sicher regelmäßig seine Statistiken prüfen um zu sehen ob alles in geordneten Bahnen verläuft. Anzahl Besucher, Referrer und die Suchbegriffe mit der die Besucher von den Suchmaschinen, meist Google, kamen. Da lässt sich in letzter Zeit regelmäßig der Suchbegriff “encrypted_search_terms” an erster Stelle nieder. Um was geht es da?

Bei “encrypted_search_terms” oder auf gut deutsch “verschlüsselte Suchbegriffe” handelt es sich um Nutzer die bei Ihrer Suche über die Suchmaschinen eine verschlüsselte Verbindung, zu erkennen an dem “s” im der Adressleiste des Browser, verwenden. Zum Beispiel: https://www.google.de. Durch die Verwendung einer verschlüsselten Verbindung können dritte den Datenverkehr nicht mehr belauschen und ein “anonymes Surfen” wird gewährleistet. Weiterlesen

WordPress Post Kommentar Fehler – “Unreadable Captcha Token File”

Da findet man endlich auf eine Website mit Tipps und Hilfen und will eine Frage stellen oder sich einfach nur bedanken und dann das: “Unreadable Captcha Token File“. Was den Kommentar Schreiber ärgert und vielleicht von der Website vergrault, sorgt beim Betreiber für Unmut und Kopfschütteln.

WordPress Kommentar Fehler: “Unreadable Captcha Token File”

Weiterlesen

Alte JCE Editor Versionen unter Joomla als Malware-Schleudern missbraucht

JCE - Ein Content Editor für Joomla

(c) joomlacontenteditor.net

Laut einem Artikel des Internet Storm Center sind eine große Anzahl an Joomla Websites die den bekannten Editor JCE (Joomla Content Editor) verwenden, für die Verbreitung von Malware missbraucht worden.

Gegenüber heise.de erklärte Thomas Hungenberg vom CERT-Bund, dass nach bisherigen Erkenntnissen die kompromittierten Websites seit ein paar Tagen gezielt missbraucht werden, um Rechner über ein Exploit-Kit vor allem mit der FakeAV-Software zu infizieren. Weiterlesen

Datenbank Backup unter Parallels Plesk 10.x scheitert

Auf einem Linux Server, unter Plesk Version 10.4.4, Centos 5.8 läuft als Cron-Job zu einer festgelegten Zeit ein Backup von ein oder mehreren Webhosting-Paketen ab. Dies hat auch bis zum Micro Update #44 (MU#44) anstandslos funktioniert.

Das Problem

Doch auf einmal kommt eine Mail mit dem folgenden Betreff: “Backup/Restore task notification” und dem Mail Inhalt, der darüber aufklärt, dass der “Task status is: error” ist. Im Anhang dieser Mail ist eine Datei mit dem Namen “migration.result” angehängt, die darüber aufklärt das die Datenbank nicht gesichert wurde, “Failed to execute backup database“.

Der folgende Artikel zeigt eine Lösung für das genannte Problem auf.

Weiterlesen

Joomla 2.5 Update Problem unter 1und1 – “allow_url_fopen” Fehler

Beim Update-Versuch einer Joomla 2.5 Installation erscheint die Fehlermeldung: “Die PHP-Einstellung „allow_url_fopen“ ist deaktiviert. Diese Einstellung muss aber für die Aktualisierungen aktiviert sein.“. Wenn das, wie in meinem konkreten Fall unter einem Webhosting bei 1&1 auftritt, als auch bei Domain Factory, so kann das Problem mit dem nachfolgendem Artikel behoben werden.

Weiterlesen

Joomla Sicherheitsupdate Version 2.5.7 erschienen

Am 13. September2012, erschien mit Joomla Version 2.5.7 ein weiteres Sicherheitsrelease welches unter anderem auch eine neue Funktion nachrüstet. Das Release Announcement findet Ihr hier. Administratoren sollten, wie immer, das Update umgehend einspielen.

Die Downloads gibt es hier:
Neue Installation: komplettes Paket
Update Package: Updates auf 2.5.7

Die entsprechenden Sprachpakete findet Ihr hier.

Die neue Funktion

Die neue Funktion fügt einen neuen Tab im com_installer (Extension Manager) hinzu, der es erlaubt, zugelassene Joomla Übersetzungen mit einem Klick zu installieren. Zu sehen ist das in einem kurzen Video.