Wir kümmern uns und updaten die virtuellen Maschinen

Serverupdate goneo
Die Sicherheitsproblematik mit CPUs diverser Hersteller hält uns natürlich auf Trab.
Nun gibt es ein Update für virtuelle Maschinen, das wir in den frühen Morgenstunden am Donnerstag, 25.1.2018 einspielen wollen.
Die Arbeiten werden durch unser Server- und Admin-Team nacheinander erledigt. Dabei erhält eine Maschine nach der anderen Maschine die zur Verfügung stehenden Sicherheitspatches.
Die betreffenden Kunden haben wir per Mail informiert. In dieser Mail steht auch der Zeitraum, in der man mit einer kurzen Downtime rechnen muss. Wir werden uns beeilen.

WordPress Wartungs- und Servicerelease 4.9.2

Vor einigen Stunden veröffentlichte WordPress.org eine neue Version von WordPress mit der Version 4.9.2.
Es handelt sich um ein Release, das keine neuen Funktionen bereitstellt, sondern Fehler bereinigt und potentielle Sicherheitslücken schließt.
Nicht weniger als 21 Fehler sollen mit dieser neuen Version bereinigt sein. Dazu gehört das Javascript-Problem, das unter Umständen im Firefox-Browser Fehler auswarf, wenn man versuchte, Posts zu speichern. Außerdem haben die Entwickler das ursprüngliche taxonomieagnostische Verhalten von get_category_link() und category_description() wieder hergestellt. Wenn der Admin nun mit der neuen Version Themes wechselt, versucht WordPress die bisherigen Zuordnungen für Widgets wiederherzustellen, auch wenn keine Seitenleiste verwendet wird.
Zudem heißt es im Blog von WordPress.org, dass die Bibliothek, die Medien abspielt, keinen Fallback auf Flash mehr ermöglich ist. In dieser Bibliothek (MediaElement) wurde eine Sicherheitslücke entdeckt, die XSS-Angriffe möglich machte. Die meisten Browser unterstützen mittlerweile das Abspielen von Audio und Video mittels MPEG-DASH oder HLS, so dass Flash kaum noch benötigt wird. Falls doch, kann es wieder nachinstalliert werden.
Im Regelfall wird die WordPress-Installation dieses Update selbst integrieren. Sollte dies nicht passieren, müsstest du über das WordPress-Dashboard das Update manuell anstoßen. Wie immer empfiehlt sich ein vollständiges Backup (Webspacesicherung und Datenbanksicherung) herzustellen und an einem sicheren Platz aufzubewahren. Denn: Updates könnten fehlschlagen.

Contao kündigt wichtiges Update für 18.1.18 an

Auf der Website von Contao (Open Source Content Management System und Teil der goneo clickStart Sammlung) findet sich aktuell eine Ankündigung, nach der am 18.Januar 2018 ein wichtiges Sicherheitsupdate zur Verfügung stehen wird.
Offenbar wurde eine nicht näher beschriebene Sicherheitslücke gefunden, die mit dieser Version geschlossen werden soll.
Von der Sicherheitslücke, die sich nicht im Kern der Anwendung, aber in einer der „standardmäßig mitgelieferten“ Erweiterung befinden soll, sind laut Contao die Versionen  Contao 2.x, Contao 3.x und Contao 4.0 betroffen.
Die aktuelle Contao-Version hat die Versionsnummer 4.5.2., in der die Problematik offenbar nicht auftritt. Wer frühere Versionen nutzt, sollte am 18. Januar das Update nicht vergessen.

Serveraktualisierung wegen Sicherheits-Bugs in Prozessoren

Aktuell gehen viele Berichte über bekanntgewordene Probleme mit Prozessoren wie sie in Rechnern aller Art verwendet werden, durch nahezu sämtliche Medien.
Dies betrifft Smartphones, Desktopcomputer und Notebooks sowie Rechner, die als Server eingesetzt werden und die mit CPUs verschiedenster Hersteller bestückt sind.
Klar, dass auch wir diese Angelegenheit mit höchster Aufmerksamkeit verfolgen.
Eine Maßnahme gegen diverse, um den Jahresbeginn bekannt gewordene Sicherheitslücken ist ein Update der Server. Ein solches Update möchten wir natürlich sehr zeitnah anwenden.
Die Arbeiten beginnen am 10.1.2018 und haben zur Folge, dass der jeweils eben aktualisierte Server neu gestartet werden muss. Dadurch ist es nicht zu vermeiden, dass Websites, die auf diesem Server liegen, einmalig für eine Dauer von zehn bis fünfzehn Minuten nicht erreichbar sind.
Möglicherweise werden virtuelle Managed Server einige Minuten länger brauchen, ehe sie nach dem Neustart wieder einsatzbereit sind.
Wir danken für dein Verständnis für unsere Sicherheitsmaßnahmen.

Joomla: Neue Version 3.8.2 mit behobenen Sicherheitsproblemen

In dieser Woche hat Joomla eine neue Version der Software veröffentlicht.
Für neue Installationen auf goneo Webhosting-Paketen mit goneo-clickStart verwenden wir nun die neue Version 3.8.2.
Wenn du Joomla bereits einsetzt, solltest du nachsehen, ob die interne Updateroutine die aktuelle Version nachinstalliert. Wenn nicht, hast du auch die Möglichkeit, dieses Update auch per Dateiupload auszuführen.
Die aktuellen Versionen zum Download, auch mit deutscher Sprachdatei findet man auf Joomla.de für eine manuelle Installation.
Damit wurden drei wesentliche Sicherheitsprobleme behoben. Eines dieser Probleme drehte sich um die Authentifizierungsgmethode LDAP, ein weiteres um eine aushebelbare Zweifaktorauthentifizierung und ein drittes um ein Problem mit der Fields-Komponente, mit der unter bestimmten Bedingungen Informationen unberechtigt sichtbar gemacht werden können.