Promi-Doxing 2019: Welche Lerneffekte wir daraus gewinnen können

2019 ist erst ein paar Tage alt und schon gab es einen heftigen Datenschutzskandal. Darüber reden wir in Podcast-Episode 63, vor allem über Möglichkeiten, was du persönlich unternehmen kannst, um deine Daten und auch die anderer Leute besser zu schützen.

Überprüfe doch mal, ob deine E-Mailadresse vielleicht auch schon im einen oder anderen Datenleak aufgetaucht ist: 
https://haveibeenpwned.com/

Schon im Dezember (2018) hat jemand über Twitter geleakte Informationen, sensible personenbezogene Daten gestreut.  Betroffen sind über 900 Politiker aller Ebenen, also Abgeordnete, Funktionsträger in Parteien, aber auch Künstler, Youtubestars, Medienleute in unterschiedlichem Maß. 

Neues WordPress-Update beseitigt endlich Mediamanagement-Sicherheitsproblem

Im Artikel „WordPress lässt Lücke ungepatcht“ beschrieben wir ein Sicherheitsproblem, das eine Software-Security-Firma vor etwas mehr als einem halben Jahr an das WordPress-Security-Team gemeldet hat: Wenn jemand einen Autor-Account nutzen kann, kann man durch gezielte Manipulation der Datenbank in Zusammenhang mit Vorschaubildern („Thumbs“) Dateien löschen, die sich außerhalb des Mediaverzeichnisses befinden.
So könnte man etwa die wp-config.php-Datei entfernen und WordPress zu einer Neuinstallation zwingen. Damit wäre es möglich eine Datenbankverbindung anzugeben, die man als Angreifer selbst unter Kontrolle hat. So übernimmt man dann den Serveraccount, auf dem WordPress läuft.
Diese Privacy Escalation ist aber nur für User möglich, die Zugang als Autor haben, also mindestens die Rechte besitzen, Mediendateien hochzuladen, zu löschen und zu bearbeiten.
In den letzten 24 Stunden hat WordPress nun eine Version 4.9.7 ausgerollt, so dass viele Installationen heute ein automatisches Update vermeldet haben. Daneben sind nach Angaben verschiedener Onlinemedien weitere siebzehn Bugs behoben worden.
Wer in WordPress die automatische Updatefunktion deinstalliert hat, sollte nun die Routine selbst anwerfen und das System aus Sicherheitsgründen auf den neusten Stand bringen.
Als neuen Funktion, die auch für reine Bediener interessant sein könnte, erlaubt WordPress 4.9.7 nun im Adminmenü der Widgets, basale HTML-Tags in Sidebar-Descriptions zu verwenden.

Sicherheit: WordPress lässt Lücke ungepatcht

Es ist eine Lücke in aktuellen WordPress-Versionen bekannt geworden, die bereits vor sechs Monaten entdeckt worden ist. Damit können unter Umständen Fremde Dateien in einer Installation löschen, auch kritische Dateien wie zum Beispiel .htaccess, index.php oder auch die wichtige wp-config.php. Im letzteren Fall führt WordPress praktisch eine Neuinstallation aus, die dann manipuliert werden kann. Für das Problem gibt es keine Lösung von WordPress, nur einen Hotfix einer Sicherheitsfirma.  „Sicherheit: WordPress lässt Lücke ungepatcht“ weiterlesen

Erneut Updates für virtuelle Server

Es scheint sich ein Trend abzuzeichnen, dass sich gerade für servernahe Software wie Betriebssysteme, Module und ähnliche Komponenten die Zeit zwischen zwei Updates beziehungsweise Releases verkürzt.
Eben erschien aktualisierte Software für virtuelle Server so dass in diesem Fall nun  Servereinheiten gewartet werden müssen, mit denen goneo die Produktreihen „goneo Webserver Business“ und „goneo Webserver“ realisiert.
Wir möchten diese Updates kurzfristig einspielen, legen aber die Arbeiten gezielt in eine auslastschwache Zeit.
Der Termin für diese Maßnahmen ist Sonntag, 6.5.2018. Unsere Teams nehmen die Arbeiten in der Zeit von 3:00 Uhr bis 5:00 Uhr vor.
Eine Folge ist, dass jeder virtuelle Server wird kurzzeitig nicht zu erreichen sein wird.Wir rechnen mit einer Nichterreichbarkeitsdauer von je 20 bis 30 Minuten. Die E-Mail-Kommunikation über die Mailserver von goneo ist davon nicht betroffen.

Joomla 3.8.7 neu in goneo-clickStart-Webanwendungen

„goneo clickStart“ heißt das Feature, mit dem goneo-Webhosting-Kunden ganz schnell viele wichtige und oft eingesetzte Webanwendungen installieren können.
Damit entfällt die Suche nach der aktuellen Version, einer deutschen Variante und die zeitraubende Download-Entpack-Hochlade-Prozedur. Auch die Installationsroutine führt das clickStart-Tool aus und richtet die Anwendung startbereit ein.
Für das bekannte Content Management System Joomla gab es kürzlich ein Serviceupdate. Nun wird die Version 3.8.7 aufgespielt, wenn man goneo clickStart benutzt. Anwendern, die bereits Joomla im Einsatz haben, sollten umgehend ihr System auf Version 3.8.7 updaten. Auf dieser Seite bei Joomla gibt es entsprechende Update-Pakete.

Noch ein wichtiges Update für Drupal (neu: 8.5.3)

Wie verschiedene Tech-Onlinemedien melden (z.B. Heise Security oder T3N), ist eine Sicherheitslücke in Drupal bekannt geworden.
Wichtig ist, dass Drupal User möglichst schnell das Update einspielen. Betroffen sind Versionen unter Drupal 7, 8.4 als auch 8.5. Die aktuelle Version lautet 8.5.3 und ist auf Drupal.org zum Download bereit.

  • Drupal 7.x sollte auch Drupal 7.59 geupdated werden
  • Drupal 8.5.x, sollte auf Drupal 8.5.3 geupdated werden
  • Drupal 8.4.x (eigentlich nicht mehr unterstützt), sollte auf Drupal 8.4.8. geupdated werden)

Die neu gefundenen Lücke ist die zweite in kurzer Folge, nachdem bereits am 28.3.2018 ein kritisches Problem gemeldet wurde. Die Ende März gemeldete Lücke SA-CORE-2018-002  muss bereits gepatcht sein, damit die neuen Patches wirken.
Sollte die Drupal Seite schon gehackt sein, könnten diese Tipps von Drupal helfen.
 

Joomla empfiehlt Update auf Version 3.8.6

Vor kurzem hat Joomla eine neue Bugfix-Version mit der Nummer 3.8.6 veröffentlicht und empfiehlt, auf diese Version upzugraden. Dies sollte mittels der eingebauten Updatefunktion möglich sein. Ansonsten kann man die neuste Joomla-Version hier herunterladen (als Update- oder Vollinstallationspaket).
Mit 3.8.6 wird auch ein Sicherheitsproblem gelöst, das als „low priority“, aber mit „impact: high“ beschrieben wurde: https://developer.joomla.org/security-centre/723-20180301-core-sqli-vulnerability.html
Offenbar gibt es eine Lücke bei der Typenbehandlung in „User Notes“. Betroffen sind die Versionen  3.5.0 bis 3.8.5. Auch das BSI sprach eine Update-Empfehlung aus.  Ein Angreifer müsse zur Ausnutzung der Sicherheitslücke gültige Zugangsdaten für Ihre Joomla!-Webseite besitzen und die Möglichkeit haben, auf die Verwaltungsoberfläche zuzugreifen, heißt es.

Updateankündigung zum Safer Internet Day

Heute, 6.Februar 2018, ist Safer Internet Day.
Wir nehmen das zum Anlass, zwei neue Updates unserer Server anzukündigen.
Bereits am kommenden Freitag, 9.Februar 2018 macht sich ein Team aus Administratoren daran, die Server upzudaten, auf denen die Website von goneo.de und die Webmail-Anwendung (webmail.goneo.de) laufen. Zudem ist für KW 10 noch eine großflächigere Wartung geplant.
„Updateankündigung zum Safer Internet Day“ weiterlesen

Wartungsarbeiten am Kundencenter in der Nacht von Samstag auf Sonntag

Aktuell bereiten die Techniker weitere Updates der Systeme von goneo-Servern vor, um die Sicherheit weiter zu erhöhen.
Leider sind weitere Wartungsarbeiten an verschiedenen Maschinen unumgänglich. Sie müssen auch kurzfristig vorgenommen werden, betreffen aber diesmal keine Server, auf denen Webseiten bzw. Webanwendungen unserer Kunden liegen. Auch den E-Mail-Verkehr über goneo wird dies nicht betreffen.
In diesem Fall bleiben die Auswirkungen für Webseitenbetreiber oder Domainnutzer also recht gering. Zudem legen unsere Administratoren ihre Arbeiten gezielt in eine Zeit, in der erfahrungsgemäß sehr wenige Zugriffe auf die betroffenen Dienste zu verzeichnen sind.
In der Nacht von Samstag, 3.2. auf Sonntag 4.2.2018 wird in der Zeit von 2:00 Uhr bis 5:00 Uhr zumindest zeitweise das goneo-Kundencenter nicht erreichbar sein.
Man kann während dieser Wartungsarbeiten auch keine Produkte bestellen oder Domains registrieren.
Danke für dein Verständnis.