Schlagwort-Archive: Sicherheit

BSI Studie zum Thema Sicherheit von Content Management Systemen

Vor kurzem wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine mehr als 160 seitige Studie veröffentlicht, die den gängigen Content Management Systemen (CMS) von WordPress, Joomla!, Drupal, Typo3 und Plone auf den sicherheitstechnischen Zahn fühlt.

Untersucht wurden unter anderem einzelne Phasen des Softwarelebenszyklus, sowie Themen wie beispielsweise Protokollierungseinstellungen und Datenschutz, welche mittelbaren Einfluss auf das Sicherheitsmanagement haben.

Es wurden verschiedene Szenarien durchgespielt, um einen realen Bezug herstellen und Handlungsempfehlungen geben zu können. Szenarien waren dabei eine „Private Event Site“, ein „Bürgerbüro in einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und ein „Mittelständisches Unternehmen mit mehreren Standorten“.

Graphische Darstellung der Schwachstellen in den Erweiterungen und Basis-Installation
Bild: BSI

Eine, für viele wahrscheinlich wenig überraschende, Erkenntnis der Studie ist, das die Grundsysteme von Joomla!, WordPress und Co. Wesentlich sicherer sind als viele der von Drittherstellern angebotenen Erweiterungen. So fallen ca. 20% der gefundenen Fehler bei WordPress auf die Basis-System und die restlichen 80% auf Erweiterungen. Bei Joomla! Und TYPO3 unterscheiden sich die Zahlen mit 13% bzw. 14% Basis und 87% und 86% nur unwesentlich.

Letzten Endes sollte ein System stets aktualisiert werden und nur so viele Erweiterungen wie nötig und so wenig wie möglich installiert werden.

Viel Spaß wünscht
Chefkoch

Link zum BSI Artikel: Content Management System (CMS)

WordPress Update 3.5.2 schließt Sicherheitslücken und Bugfixes

Mit dem aktuell erschienenen WordPress Update 3.5.2 schließt das WordPress Entwicklerteam insgesamt 12 Schwachstellen und 7 Sicherheitslücken. Es handelt sich hierbei um ein Sicherheitsupdate für alle früheren Versionen, und es wird dringend angeraten, Website auf denen WordPress installiert ist, sofort zu aktualisieren.

Die Security-Fixes enthalten:

  • Cross-Site-Scripting(XSS),
  • Server-Side-Request-Forgery- (SSRF),
  • und Denial-of-Service-Attacken (DoS)

Download WordPress 3.5.2 oder ein direktes Update über das Dashboard → Updates menü im Adminbereich der WordPress Installation.

WordPress Statistik: encrypted_search_terms

WordPress Statistik: encrypted_search_termsWer einen WordPress Blog betreibt wird sicher regelmäßig seine Statistiken prüfen um zu sehen ob alles in geordneten Bahnen verläuft. Anzahl Besucher, Referrer und die Suchbegriffe mit der die Besucher von den Suchmaschinen, meist Google, kamen. Da lässt sich in letzter Zeit regelmäßig der Suchbegriff „encrypted_search_terms“ an erster Stelle nieder. Um was geht es da?

Bei „encrypted_search_terms“ oder auf gut deutsch „verschlüsselte Suchbegriffe“ handelt es sich um Nutzer die bei Ihrer Suche über die Suchmaschinen eine verschlüsselte Verbindung, zu erkennen an dem „s“ im der Adressleiste des Browser, verwenden. Zum Beispiel: https://www.google.de. Durch die Verwendung einer verschlüsselten Verbindung können dritte den Datenverkehr nicht mehr belauschen und ein „anonymes Surfen“ wird gewährleistet. WordPress Statistik: encrypted_search_terms weiterlesen

WordPress Post Kommentar Fehler – „Unreadable Captcha Token File“

Da findet man endlich auf eine Website mit Tipps und Hilfen und will eine Frage stellen oder sich einfach nur bedanken und dann das: „Unreadable Captcha Token File„. Was den Kommentar Schreiber ärgert und vielleicht von der Website vergrault, sorgt beim Betreiber für Unmut und Kopfschütteln.

WordPress Kommentar Fehler: „Unreadable Captcha Token File“

WordPress Post Kommentar Fehler – „Unreadable Captcha Token File“ weiterlesen

Alte JCE Editor Versionen unter Joomla als Malware-Schleudern missbraucht

JCE - Ein Content Editor für Joomla
(c) joomlacontenteditor.net

Laut einem Artikel des Internet Storm Center sind eine große Anzahl an Joomla Websites die den bekannten Editor JCE (Joomla Content Editor) verwenden, für die Verbreitung von Malware missbraucht worden.

Gegenüber heise.de erklärte Thomas Hungenberg vom CERT-Bund, dass nach bisherigen Erkenntnissen die kompromittierten Websites seit ein paar Tagen gezielt missbraucht werden, um Rechner über ein Exploit-Kit vor allem mit der FakeAV-Software zu infizieren. Alte JCE Editor Versionen unter Joomla als Malware-Schleudern missbraucht weiterlesen

Datenbank Backup unter Parallels Plesk 10.x scheitert

Auf einem Linux Server, unter Plesk Version 10.4.4, Centos 5.8 läuft als Cron-Job zu einer festgelegten Zeit ein Backup von ein oder mehreren Webhosting-Paketen ab. Dies hat auch bis zum Micro Update #44 (MU#44) anstandslos funktioniert.

Das Problem

Doch auf einmal kommt eine Mail mit dem folgenden Betreff: „Backup/Restore task notification“ und dem Mail Inhalt, der darüber aufklärt, dass der „Task status is: error“ ist. Im Anhang dieser Mail ist eine Datei mit dem Namen „migration.result“ angehängt, die darüber aufklärt das die Datenbank nicht gesichert wurde, „Failed to execute backup database„.

Der folgende Artikel zeigt eine Lösung für das genannte Problem auf.

Datenbank Backup unter Parallels Plesk 10.x scheitert weiterlesen

Joomla 2.5 Update Problem unter 1und1 – „allow_url_fopen“ Fehler

Beim Update-Versuch einer Joomla 2.5 Installation erscheint die Fehlermeldung: „Die PHP-Einstellung „allow_url_fopen“ ist deaktiviert. Diese Einstellung muss aber für die Aktualisierungen aktiviert sein.„. Wenn das, wie in meinem konkreten Fall unter einem Webhosting bei 1&1 auftritt, als auch bei Domain Factory, so kann das Problem mit dem nachfolgendem Artikel behoben werden.

Joomla 2.5 Update Problem unter 1und1 – „allow_url_fopen“ Fehler weiterlesen

Joomla Sicherheitsupdate Version 2.5.7 erschienen

Am 13. September2012, erschien mit Joomla Version 2.5.7 ein weiteres Sicherheitsrelease welches unter anderem auch eine neue Funktion nachrüstet. Das Release Announcement findet Ihr hier. Administratoren sollten, wie immer, das Update umgehend einspielen.

Die Downloads gibt es hier:
Neue Installation: komplettes Paket
Update Package: Updates auf 2.5.7

Die entsprechenden Sprachpakete findet Ihr hier.

Die neue Funktion

Die neue Funktion fügt einen neuen Tab im com_installer (Extension Manager) hinzu, der es erlaubt, zugelassene Joomla Übersetzungen mit einem Klick zu installieren. Zu sehen ist das in einem kurzen Video.

 

Joomla Version 2.5.6 erschienen + Neue Features

Nachdem am Montag letzter Woche Joomla in der Version 2.5.5 erschien, die jedoch ein paar Fehler enthielt, erschien am 19. Juni 2012 die Version 2.5.6 auf die alle Website-Betreiber so schnell wie möglich aktualisieren sollten, da es sich um ein Sicherheitsupdate handelt.

Die Downloads gibt es hier:
Neue Installation: komplettes Paket
Update Package: Updates auf 2.5.6

Das Update einer 2.5’er Version kann bequem vom Backend aus vorgenommen werden. Einfach unter Erweiterungen auf Updates gehen und im Reiter Aktualisieren auf „Aktualisierungen suchen“ klicken und danach das Update einspielen. Vorher, wie immer, ein Backup machen; am besten und am einfachsten geht das mit Akeeba Backup. Nach dem Update noch alles Caches leeren und alles sollte gut sein. Joomla Version 2.5.6 erschienen + Neue Features weiterlesen

Joomla Sicherheitsupdates Version 2.5.5 erschienen [inkl. Bug]!

(c) joomla.org

Gestern, dem 18. Juni 2012, erschien die Joomla Version 2.5.5 welches unter anderem ein Sicherheitsrelease darstellt und zum anderen neue Funktionen nachrüstet. Das Release Announcement findet Ihr hier.

Jetzt wollte ich gerade die Download-Links einfügen, da stellt sich heraus, dass das Update wohl Bugs enthält und von einem Update im Moment eher abzuraten ist! Im im Joomla.org Forum und in der Google-Group „Joomla Bug Squad“ wird von Problemen beim Update berichtet.

Für diejenigen die schon ein Update durchgeführt haben und Probleme haben, gibt es unter Joomla Code ein Patch. Besser ist wohl aber auf eine aktualisierte Version zu warten und dann wie gewohnt ein Update bequem vom Backend aus zu machen.