Wir wünschen allen Mitarbeitern, Kollegen, Kunden und Partnern einen schönen Jahresausklang und einen guten Rutsch in das Jahr 2017.
Sicherheitslücke in PHPMailer entdeckt – beliebte Webapplikationen betroffen
Dawid Golunski von der Gruppe „legalhackers.com“ weist auf eine schwere Sicherheitslücke in PHPMailer hin. Dies ist während der Weihnachtsfeiertage offenbar unbeabsichtigt bekannt geworden. PHPMailer ist eine Bibliothek, die in vielen anderen Open-Source-Anwendungen Verwendung findet und sozusagen mit der Installation diverser Anwendungen mitgeliefert wird.
Durch einen Fehler sei es möglich, externen Code auszuführen, heißt es übereinstimmend in mehreren Presseberichten. Daher sollten alle, die PHPMailer einsetzen, die neuste Version einspielen. Die neuster Version trägt die Nummer 5.2.19. Allerdings soll auch 5.2.18 nicht betroffen sein. Diese ist von dem Sicherheitsproblem nach aktueller gängiger Expertenmeinung nicht betroffen.
In Joomla, Drupal und WordPress wird PHPMailer verwendet, zusätzlich in einer Reihe anderer, weniger populärer Anwendungen. Bei WordPress wurden die entsprechenden Dateien umbenannt, so dass man die Integration mit einer einfachen Dateisuche nicht entdeckt.
Die genannten Applikationen verwenden die Bibliothek, um selbst Mails zu versenden. Das ist notwendig, wenn vergessene Passwörter neu vergeben werden müssen oder Formulareingaben per Mail an den Websitebetreiber versendet werden. Anwendungen wie WordPress, Joomla und Drupal werden voraussichtlich bald in neuer Version vorliegen und das Problem mit PHPMailer beheben.
Sicherheitsforscher vermuten, dass ältere PHPMailer Versionen die Absenderadresse nicht überprüfen. So wird die Zeichenkette ungeprüft an das Modul Sendmail übergeben. Möglicherweise handelt es sich also um eine Shell-Injection-Problematik. Für die nächsten Tage ist ein sogenannter Proof of concept angekündigt, der weitere Details enthalten wird.
goneo wünscht frohe Weihnacht
Wir wünschen Ihnen und Ihrer Familie eine ruhige und besinnliche Weihnachtszeit.
Selbstgehosteter Onlinespeicher bietet mehr Planbarkeit und Flexibilität
Sogenannte „Öffentliche Ordner“ in einem Onlinespeicherdienst sind eine schöne Sache.
Jetzt hat ein sehr bekannter Onlinespeicher-Gratisdienst angekündigt, diese praktische Funktion im Frühjahr 2017 für die nicht zahlenden User im Basisservice einzustellen. Heise Online schreibt: „Das könnte vor allem Kunden treffen, die den „Public Folder“ für ein kostenloses Webhosting zweckentfremdet haben.“ Als Webhosting-Anbieter empfehlen wir, den Onlinespeicher selbst zu hosten. Das ist nicht ganz kostenlos, bringt aber eine Reihe von Vorteilen mit sich.
 |
 |
| goneo Webhosting Profi bietet viel Platz für eigenen Daten. Damit lässt sich auch ein Onlinespeicher mit OwnCloud oder Nextcloud einfach und günstig realisieren. | Wer noch mehr Webspace braucht, nutzt goneo Webhosting Premium. Wie auch der kleinere Bruder, Webhosting Profi, verfügt dieses Paket über SSL-Zertifikate, mit denen der Datentransfer verschlüsselt wird. |
„Selbstgehosteter Onlinespeicher bietet mehr Planbarkeit und Flexibilität“ weiterlesen
Statt Gratismail: Persönliche E-Mailadresse mit eigener Domain nur 49 Cent im Monat
Erneut wurde bekannt, dass ein sehr bekannter, weltweit agierender Internetkonzern einem großen Hackerangriff zum Opfer gefallen ist. Die Daten von nicht weniger als einer Milliarde Nutzerkonten wurden angegriffen. Die gestohlenen Daten umfassen Namen, E-Mailadressen, Telefonnummern und Passwörter, die aber nicht im Klartext abgespeichert worden waren. Allerdings seien möglicherweise auch unverschlüsselt gespeicherte Sicherheitsfragen und die Antworten dazu gestohlen worden, heißt es in Presseberichten.
Wer darüber nachdenkt, einen anderen Anbieter zu nutzen, für den haben wir folgendes Angebot.
„Statt Gratismail: Persönliche E-Mailadresse mit eigener Domain nur 49 Cent im Monat“ weiterlesen
Die beliebtesten goneo clickStart-Content Management Systeme 2016
goneo clickStart ist ein Feature, mit dem man ohne Programmierung und zeitraubende Konfiguration eine Webanwendung zum Einsatz bringen kann. Wir haben uns angesehen, welche Content Management Systeme goneo-Kunden am liebsten wählen und per clickStart installieren.
„Die beliebtesten goneo clickStart-Content Management Systeme 2016“ weiterlesen
Sicherheitsupdate für Roundcube
Roundcube hat kurz nach der Veröffentlichung einer neuen Version im September nun ein wichtiges Sicherheitsrelease herausgegeben. Grund dafür ist, dass eine Sicherheitslücke entdeckt wurde. Wer ein selbstgehostetes Roundcube einsetzt, sollte seine Version auf den Stand 1.2.3 bringen. Als clickStart-Anwendung wird bereits 1.2.3 installiert. Wichtig ist, das Update so vorzunehmen, wie es hier im Abschnitt „Via FTP and Installer“ beschrieben ist:
https://github.com/roundcube/roundcubemail/wiki/Upgrade
- Der erste Schritt wäre ein Backup.
- Dann lädt man die aktuelle Version herunter (zum Beispiel von https://roundcube.net/download).
- Nun muss man den Tarball (.tar.gz) entpacken
- Wichtig ist, die Informationen in den Dateien UPGRADING und INSTALL zu beachten.
- Anschließend, so die Empfehlung, kann man die Roundcube-Dateien in der entsprechenden Struktur hochladen:
./bin/*
./SQL/*
./program/*
./installer/*
./vendor/*
Außerdem muss man Inhalte aus plugins/* und skins/* hochladen, sollte aber nicht alle Skins- und Plugin-Ordner einfach ersetzen. Möglicherweise hat man ja selbst andere, zusätzliche Skins und Plugins hinzugefügt. Die wären dann verloren.Zudem müssen das defaultmäßige config-file und die Mime-Typ-Zuordnung kopiert werden:
config/defaults.inc.php
config/mimetypes.php - Nun geht es darum, die Installationsroutine auszuführen
Vorbereitend wird die Datei Roundcube config ( config/config.inc.php beziehungsgweise config/main.inc.php für Versionen unter 1.0) editiert und der Eintrag ‚enable_installer‘ auf true gesetzt. Dann ruft man https://<url-to-roundcube>/installer/ mit dem Browser auf und klickt auf Punkt „3. Test config“.Bitte den Hinweisen am Schirm folgen. Die lokale Konfigurationsdatei und das Datenbankschema wird angepasst.
Am Ende dieses Schritts sollten alle Signale im Installationsmenüauf grün stehen. Nun soll man das Roundcube config-file erneut editieren, um ‚enable_installer‘ auf false zu setzen, wenn dieser Eintrag überhaupt noch vorhanden ist. Um die Installation zu schützen, sollte man das ganze Installationsverzeichnis vom Webspace löschen.
WordPress 4.7 als goneo clickStart Anwendung
Die neue WordPress-Version 4.7 ist erschienen und nun als goneo-clickStart-Anwendung integriert. Wer also WordPress schnell und einfach aufsetzen möchte, erhält ab sofort die neue Version.
„WordPress 4.7 als goneo clickStart Anwendung“ weiterlesen
Serverwartung im Januar 2017
Die nächsten Wartungsarbeiten sind für 03.01. bis 06.01.2017 und
09.01. bis 12.01.2017 geplant. Jeder Server in den Paketen mit der Bezeichnung „Webserver Business“ bzw. „Webserver Start“, „Webserver Profi“ und „Webserver Premium“ wird für die Dauer bis etwa 30 Minuten nicht erreichbar sein, allerdings nur einmal während der kompletten Wartungsphase. Da die Arbeiten umfangreicher werden, wurden die Maßnahmen so geplant, dass die Zeit der Nichterreichbarkeit in die auslastungsschwache Tageszeit von 6:00 Uhr bis 7:00 Uhr fällt.
Webanalyse: Die Alternative zur Alternative
Für viele Webseitenbetreiber geht an Google Analytics kein Weg vorbei, zumindest nicht, wenn das einzusetzende Webanalyse-Tool kostenlos sein soll. Für alle, die Google Analytics nicht mögen, bleiben Piwik, über das wir schon oft berichtet haben oder Open Web Analytics
„Webanalyse: Die Alternative zur Alternative“ weiterlesen