Sicherheitslücke in PHPMailer entdeckt – beliebte Webapplikationen betroffen

Dawid Golunski von der Gruppe „legalhackers.com“ weist auf eine schwere Sicherheitslücke in PHPMailer hin. Dies ist während der Weihnachtsfeiertage offenbar unbeabsichtigt bekannt geworden. PHPMailer ist eine Bibliothek, die in vielen anderen Open-Source-Anwendungen Verwendung findet und sozusagen mit der Installation diverser Anwendungen mitgeliefert wird.
Durch einen Fehler sei es möglich, externen Code auszuführen, heißt es übereinstimmend in mehreren Presseberichten. Daher sollten alle, die PHPMailer einsetzen, die neuste Version einspielen. Die neuster Version trägt die Nummer 5.2.19. Allerdings soll auch 5.2.18 nicht betroffen sein. Diese ist von dem Sicherheitsproblem nach aktueller gängiger Expertenmeinung nicht betroffen.
In Joomla, Drupal und WordPress wird PHPMailer verwendet, zusätzlich in einer Reihe anderer, weniger populärer Anwendungen. Bei WordPress wurden die entsprechenden Dateien umbenannt, so dass man die Integration mit einer einfachen Dateisuche nicht entdeckt.
Die genannten Applikationen verwenden die Bibliothek, um selbst Mails zu versenden. Das ist notwendig, wenn vergessene Passwörter neu vergeben werden müssen oder Formulareingaben per Mail an den Websitebetreiber versendet werden. Anwendungen wie WordPress, Joomla und Drupal werden voraussichtlich bald in neuer Version vorliegen und das Problem mit PHPMailer beheben.
Sicherheitsforscher vermuten, dass ältere PHPMailer Versionen die Absenderadresse nicht überprüfen. So wird die Zeichenkette ungeprüft an das Modul Sendmail übergeben. Möglicherweise handelt es sich also um eine Shell-Injection-Problematik. Für die nächsten Tage ist ein sogenannter Proof of concept angekündigt, der weitere Details enthalten wird.

Statt Gratismail: Persönliche E-Mailadresse mit eigener Domain nur 49 Cent im Monat

Erneut wurde bekannt, dass ein sehr bekannter, weltweit agierender Internetkonzern einem großen Hackerangriff zum Opfer gefallen ist. Die Daten von nicht weniger als einer Milliarde Nutzerkonten wurden angegriffen. Die gestohlenen Daten umfassen Namen, E-Mailadressen, Telefonnummern und Passwörter, die aber nicht im Klartext abgespeichert worden waren. Allerdings seien möglicherweise auch unverschlüsselt gespeicherte Sicherheitsfragen und die Antworten dazu gestohlen worden, heißt es in Presseberichten.
Wer darüber nachdenkt, einen anderen Anbieter zu nutzen, für den haben wir folgendes Angebot.
„Statt Gratismail: Persönliche E-Mailadresse mit eigener Domain nur 49 Cent im Monat“ weiterlesen

Sicherheitsupdate für Roundcube

Roundcube hat kurz nach der Veröffentlichung einer neuen Version im September nun ein wichtiges Sicherheitsrelease herausgegeben. Grund dafür ist, dass eine Sicherheitslücke entdeckt wurde. Wer ein selbstgehostetes Roundcube einsetzt, sollte seine Version auf den Stand 1.2.3 bringen. Als clickStart-Anwendung wird bereits 1.2.3 installiert. Wichtig ist, das Update so vorzunehmen, wie es hier im Abschnitt „Via FTP and Installer“ beschrieben ist:
https://github.com/roundcube/roundcubemail/wiki/Upgrade

  1. Der erste Schritt wäre ein Backup.
  2. Dann lädt man die aktuelle Version herunter (zum Beispiel von https://roundcube.net/download).
  3. Nun muss man den Tarball (.tar.gz) entpacken
  4. Wichtig ist, die Informationen in den Dateien UPGRADING und INSTALL zu beachten.
  5. Anschließend, so die Empfehlung, kann man die Roundcube-Dateien in der entsprechenden Struktur hochladen:
    ./bin/*
    ./SQL/*
    ./program/*
    ./installer/*
    ./vendor/*
    Außerdem muss man Inhalte aus  plugins/* und skins/* hochladen, sollte aber nicht alle Skins- und Plugin-Ordner einfach ersetzen. Möglicherweise hat man ja selbst andere, zusätzliche Skins und Plugins hinzugefügt. Die wären dann verloren.Zudem müssen das defaultmäßige config-file und die Mime-Typ-Zuordnung kopiert werden:
    config/defaults.inc.php
    config/mimetypes.php
  6. Nun geht es darum, die Installationsroutine auszuführen
    Vorbereitend wird die Datei Roundcube config ( config/config.inc.php beziehungsgweise config/main.inc.php für Versionen unter 1.0) editiert und der Eintrag  ‚enable_installer‘ auf true gesetzt. Dann ruft man https://<url-to-roundcube>/installer/ mit dem Browser auf und klickt auf Punkt „3. Test config“.Bitte den Hinweisen am Schirm folgen. Die lokale Konfigurationsdatei und das Datenbankschema wird angepasst.
    Am Ende dieses Schritts sollten alle Signale im Installationsmenüauf grün stehen. Nun soll man das Roundcube config-file erneut editieren, um ‚enable_installer‘ auf false zu setzen, wenn dieser Eintrag überhaupt noch vorhanden ist. Um die Installation zu schützen, sollte man das ganze Installationsverzeichnis vom Webspace löschen.

 

Ankündigung: Einige WordPress-Features bald nur noch mit SSL-Verschlüsselung

Neben Google, das nicht-SSL-verschlüsselte Webseiten nächstes Jahr markieren möchte, kündigt auch WordPress an, stärker auf SSL zu setzen. Im offiziellen WordPress-Blog schreibt Entwickler Matt Mullenweg, dass einige Funktionen wie die Authentifizierung via API nur noch funktionieren würden, wenn die Verschlüsselung mit SSL möglich ist, „something we think every host should support by default, especially in a post-Snowden era„, schreibt er.
In den aktuellen Webhosting-Paketen goneo Webhosting Profi, Premium und Ultra sowie auf virtuell dedizierten Servern (Webserver Start, Profi, Premium) sind je nach Paket unterschiedlich viele SSL-Zertifikate von „Let’s Encrypt“ inklusive und können mit dem Setzen eines Häkchens ganz einfach eingesetzt werden.

Botnetz-DDoS-Attacke kostet 3.000 Dollar – also: Systeme sicher halten

Bei vielen Internetusern gehen derzeit Angebote ein, ein Botnetz doch mal für Angriffe auf Konkurrenten zu nutzen. Aktuell berichtet ZDnet über entsprechende Spammitteilungen, die per Jabber-Instant-Messaging verteilt werden. Zwei Hacker bieten dort DDoS Angriffe mittels Mirai-Bots an. DDoS-Attacken werden offensiv angeboten. Dies unterstreicht wie wichtig es ist, seine eigenen Webanwendungen möglichst gut abzusichern, um nicht selbst Teil eines Botnetzwerks zu werden.
„Botnetz-DDoS-Attacke kostet 3.000 Dollar – also: Systeme sicher halten“ weiterlesen

WordPress hat als CMS nun einen Marktanteil von über 27 Prozent

Nach neusten Ergebnissen werden 27,1 Prozent aller Websites mit WordPress betrieben. Das berichtet w3techs.com .
Der Abstand zu den nächsten beiden beliebtesten Content Management Systemen (CMS) ist deutlich: Es folgen Joomla und Drupal mit 3,3 und 3,2 Prozent.
Zudem werden immer mehr Websites mit Hilfe eines CMS betrieben. Der Anteil der Seiten, die ohne CMS auskommen, sinkt seit 2011 kontinuierlich. Damals war auf den meisten Websites (über 75 Prozent) kein CMS festzustellen. Heute ist das nur nur bei knapp über 50 Prozent der untersuchten Sites der Fall.
„WordPress hat als CMS nun einen Marktanteil von über 27 Prozent“ weiterlesen

Passen Sie auf Ihren Shop auf

In der Vorweihnachtszeit springen die Umsätze bei den meisten Onlinehändlern an. Das ruft viele Betrüger auf den Plan.
Die Masche: Man eröffnet einen Shop – das geht dank Open Source Software genauso schnell wie einfach – klaut sich Produkttexte und -bilder zusammen und bietet Ware, die man gar nicht hat, zu einem sensationell günstigen Preis an. Preissensible Konsumenten finden das vermeintlich günstigste Angebote und bestellen. Sie tun, was der Shopbetreiber verlangt, überweisen Geld auf ein Konto im Ausland oder hinterlassen ihre Kreditkartendaten. Ab dann warten die Besteller auf ihre Ware – das allerdings oft vergeblich.
„Passen Sie auf Ihren Shop auf“ weiterlesen

Joomla 3.6.4 steht bereit – jetzt updaten

Joomla hat soeben die Version 3.6.4 veröffentlicht. Man findet diese auf der offiziellen Joomla-Seite.
Enthalten ist ein wichtiger Sicherheitspatch. Wer Version 3.4.x oder 3.5.x verwendet, kann nicht den integrierten Extension Manager verwenden, um das Update durchzuführen.
Mehr Details über die Natur der Sicherheitslücke in Forum.