Archiv der Kategorie: Sicherheit

Debian GNU/Linux 4.0r2 (Etch) Update

Heute ist eine Aktualisierung (Release 2) der aktuellen Debian Version 4.0 (Etsch) erschienen. Die Aktualisierung enthält alle bis Heute erschienen Sicherheitsaktualisierungen, so wie Fehlerkorrekturen von fehlerhaften Paketen.

Zu den Aktualisierungen von fehlerhaften Programmen gehören unter anderem: apache2* und libc6*

Zum Aktualisieren der 4.0er Version reichen die folgenden Befehle:

aptitude update
aptitude dist-upgrade

Das Update sollte ohne Schwierigkeiten verlaufen und nur sicherheitsupdates sowie Fehlerkorrekturen durchführen. Im Normalfall sollten keine Konfigurationsdateien verändert werden oder Änderungen am System nötig sein.

So jetzt weiter schaffen und immer wieder mal „aptitude update && aptitude upgrade“ für Sicherheitsaktualisierungen ausführen.

Ausgezeichnete Online Banking Seite von SEB mit gravierenden Sicherheitslücken

Eine Bank sollte wenigstens darauf achten, dass ihre Seiten bestimmte Sicherheitsauflagen erfüllen und seit zehn Jahren bekannte Probleme mit Frames oder Iframes nicht mehr einsetzen, doch bei der SEB Bank scheint wohl Sicherheit nicht ganz auf der Tagesordnung zu stehen.. Jürgen Schmidt von heise security zeigt es in einem einfachen und vor allem sogar für Leihen verständlichen Artikel, dass die Entwickler wohl kaum, wenn überhaupt was von Sicherheit gehört haben. Auch ein Sicherheitsexperte hat sich die Seite nie angeschaut und so ist in dem Artikel gut zu sehen, wie wenig bei SEB auf Sicherheit geachtet wird.

Schwere Sicherheitslücken:

  • Verwendung von Frames für den Internetauftritt
  • Möglichkeit Inhalte von externen Seiten in die Frames der Bankseite zu laden
  • Laden von fremden Inhalten mit weiter funktionierender  Verschlüsselung ohne Warnungen von Browsern
  • Phishing Warnungen in einem leicht austauschbaren iframe eingebaut
  • Cross Site Scripting durch mangelhafte Filterung von Ausgaben in Eingabefeldern
  • Behebung von einzelnen Sicherheitslücken auf Anfrage ohne die Seite auf weitere Lücken zu untersuchen
  • Keine Prüfung der Inhalte durch wenigstens einen Sicherheitsexperten. Nicht mal 1 Stunde hätte jedem Sicherheitsexperten gereicht, um genug fatale Fehler für ein Redesign zu liefern.
  • Auszechnung wiegt Nutzer in Sicherheit, obwohl niemand nach dem mittlerweile wichtigsten Punkt – der Sicherheit geschaut hat

Trotz der bekannten Fehler scheint es wohl keinen ernsthaften oder langwierigen Imageschaden für Banken und Firmen zu geben, die Sicherheit missachten und ihre Benutzer schwer gefährden.

Quellen und weitere Informationen:

WordPress 2.2.3 Update – Sicherheits und Bugfix Release

In WordPress 2.2.3 wurden insgesamt 9 Fehler behoben. Davon sind 2 Sicherheistlücken die dringend behoben werden müssen.

Bei dem einen Fehler lassen sich im RSS2 Feeds E-Mail Adressen von geposteten Kommentaren auslesen, die bestimmt jeden Spammer und Fischer interessieren werden.
Bei dem zweigen Fehler besteht die Möglichkeit durch Benutzer ungefilterten HTML Code zu posten und damit gefährlichen Code in die Seite einzuschleußen.

Allen Benutzern wird drigend empfohlen die WordPress Version auf dieVersion 2.2.3 zu aktualisieren!

Quellen:

WordPress 2.2.2 und 2.0.11 beheben 2 Sicherheitslücken und einige Fehler

Heute ist ein neue Version von WordPress erschienen. Mit der Version 2.2.2 und 2.0.11 werden zwei kritische Sicherheitslücken und einige weitere Fehler behoben. Jeder Nutzer sollte sein Blog so schnell wie möglich aktualisieren. Bei der Aktualisierung soll laut den Entwickler keine Inkompatibilitäten oder Probleme auftreten. Noch einen schönen und in Deutschland sehr heißen Sonntag.

Konstantin

Quellen und weitere Hinweise:

Sicherheitslücken patchen „the T-Com way“

T-Com versucht den Fehler in ungepatchten Router Speedport W700V auf eine neue Art und Weise zu schließen, indem sie den Port 8085 schließen. Der Port 8085 wird für den Fernzugriff auf den Router verwendet. Ein Fehler in der Software ermöglichte die Aktivierung des Fernzugriffs ohne Erlaubnis des Nutzers.
Durch diese Maßnahme ist die Benutzung des Ports 8085 für t-online Kunden nicht mehr möglich. Da wir bekanntermaßen 65534 Ports für die Nutzung frei haben, hat die T-Com noch 65533 möglichkeiten ihre Sicherheitslücken zu schließen, um „Sicherheit“ zu bieten. 😛

Quellen und weitere Hinweise:

/tmp mit „noexec“ unter Debian Linux

Das /tmp Verzeichnis beinhaltet eine Menge Dateien, die z.B. über Uploadformulare oder Web-Applikationen auf den Rechner kommen und eventuell durch fehlerhafte Anwendungen ausgeführt werden können. Dies passiert meistens nur in dem /tmp Verzeichnis, da alle Dateien über den Webserver meistens zuerst an diesen Ort kopiert werden oder fast jeder Benutzer auf dem System Zugriff auf diesen Ordner hat.

Damit die lieben Hacker, Würmer oder Trojaner sich nicht im /tmp Verzeichnis ausführen lassen, setzten wir das Verzeichnis auf „noexec“. Damit können in diesem Ordner keine Dateien mehr ausgeführt werden, sehr wohl aber gelesen, geschrieben und Verzeichnisse können weiter benutzt werden.

Jeder Vorteil hat auch seine Nachteile. Debian’s apt- und dpkg-tools benutzen das Verzeichnis, um Software zu installieren bzw. zu aktualisieren, da in diesem Verzeichnis Konfigurationsskripts ausgeführt werden.

Als Lösung für das Problem steht das remounten des Verzeichnisses vor jeder Installation.

Ausführbar nach diesem Befehl: „mount -o remount,exec /tmp„;

Nicht mehr ausführbar nach diesem Befehl: „mount -o remount,noexec /tmp„;

Schön ist das, doch wenn man es vergisst oder die fehlgeschlagene Konfiguration übersieht. Dafür bietet apt eine Lösung:

DPkg::Pre-Install-Pkgs {„mount -o remount,exec /tmp“;};
DPkg::Post-Invoke {„mount -o remount /tmp“;};

Sehr schöne Lösung und wird jedem Admin gefallen 😉

Greetz

Konstantin

Quellen:

WordPress 2.2.1 behebt mehrere kritische Sicherheitslücken

Die neue WordPress Version 2.2.1 behebt Fehler in der ein Monat alten Version 2.2. Dazu wurden drei kritische Sicherheitssfehler behoben, die SQL-Injection und Remote Code Injection erlauben. Ich danke für das schnelle Update.

Weitere Informationen:

Alternative Internet Browser zum Internet Explorer – die Mischungs macht es!

Wenn in der Natur eine Rasse zu dominant wird, dann finden sich Viren oder „Jäger“ die das Beuteangebot ausnutzen. So sieht es im Moment mit dem Internet Explorer aus. Dieser hat einen weltweiten Marktanteil von über 85%(tendenz fallend) und ist damit ein ideales Ziel für jeden Viren, Wurm und Malware Schreiber. Die Trefferrate hört sich viel besser an, als bei anderen Browsern!

Deswegen wollte ich ein paar weitere Browser vorstellen, die dem Internet Explorer versuchen Marktanteile abzukämpfen. Der populärste Browser ist Mozialle Firefox“.

Mozilla Firefox (aktuelle Version 2.0.0.3)
Hat in einigen ländern den Marktanteil von 20% überschritten und die Tendenz ist steigend. Er bietet schon seit einiger Zeit Tabbed Browsing, Session Resuming(wenn ein Absturz erfolgt ist) und weitere tolle Funktionen an.
Durch seine zahlreichen Erweiterungen(genannt Add-ons) ist jeder Benutzer in der Lage sich seinen Firefox anzupassen oder mit weiteren Funktionen wie Mouse Gestures zu erweitern.
Mozilla Firefox ist ein OpenSource Internet Browser und durch das „viele Augen sehen mehr“ Prinzip gut geprüft worden. Dazu werden Aktualisierungen bei Sicherheitsproblemen sehr zeitnah durchgeführt und nicht wie bei Microsoft „einmal im Monat“. Natürlich ist Firefox kostenlos und für jeden frei erhältlich!

Aber was wäre es für eine Mischung, wenn es nur zwei Browser auf dem Markt gäbe, dann wäre die „Rassenmischung“ wieder sehr klein und die „Schädlinge“ hätten ideale Bedinungen.

Opera (aktuelle Version 9.20)
Opera hat im Vergleich zu Firefox und Internet Explorer einen relativ kleinen Marktanteil, besticht aber durch seine Größe und Geschwindigkeit. Das Tabbed Browsing war eigentlich in Opera als ersten Internet Browser eingebaut worden. Auch die Mouse Gestures waren meines Wissens nach eine Erfindung der Opera Entwickler.
Opera ist aber nicht nur ein Internet Browser, sondern auch ein E-Mail Client, IRC-Chatclient und Bittorrent Client.
Diese Alternative sollte nicht außer acht gelassen werden, wenn Opera auch nicht OpenSource ist, der Browser ist kostenlos und bietet viele Vorteile!

Netscape Browser (aktuelle Version 7.1)
Netscape Browser ist auch noch da, nur hat dieser durch seinen komplizierten und unübersichtlichen Code, vieler Probleme und seiner Langsamkeit fast den kompletten Marktanteil verloren und taucht in den Statistiken kaum auf.
Vielleicht ist es mit der neuen Version anders, aber seinen ehemaligen Namen hat er definitiv verspielt!
Ich würde eigentlich kaum jemanden, aber vielleicht findet sich doch noch ein Liebhaber für ihn. 😉

Das wars leider auch für die Betriebssystemunabhängigen Browser, die mindestens auf Windows, Linux, BSD, Solaris und MacOS X laufen. Eigentlich sehr schade, aber es sieht nicht nach Besserung aus.

PS: Wenn ich einen betriebsystemunabhängigen Browser vergessen habe, dann schreibt mir bitte kurz ein Kommentar, danke!

Wenn mich jemand fragt: „Welchen Browser soll ich verwenden“, dann antworte ich: „Firefox oder Opera“. Ich würde aber jedem empfehlen sich wenigstens Firefox und Opera anzuschane, bevor man eine Entscheidung fällt oder vielleicht sogar beide benutzen, den ich wechsele gerne zwischen Browsern und jeder hat seine Vorteile, Nachteile und Besonderheiten.

Zum Thema Sicherheit:

  • egal welchen Browser aktuell halten
  • Betriebssystem aktuell halten
  • Dubiose Seiten meiden
  • !!! Ohne Administratorrechte ins Internet gehen !!!
  • Erst lesen, dann Ja,OK, Einverstanden, Nein, … drücken.
  • Internet Explorer meiden und einen anderen Browser benutzen, da dieser im Moment Ziel jeden Angriffs ist.
  • Antivirus Programm benutzen und aktuell halten inkl. der Virendefinitionen

Happy Surfing with any Browser!

Konstantin

WordPress Version 2.0.7 behebt Sicherheitslücken

Die Version 2.0.7 ist ein Fix für Probleme, die eigentlich von PHP her kommen. Wenn der Flag register_globals = on gesetzt ist, dann lassen sich damit SQL-Ausdrücke und Variablen manipulieren. Da ein Exploit speziell für WordPress erschienen ist, reichten die Entwickler diese Version nach, um WordPress abzusichern.

Dazu wurde noch ein Problem mit RSS behoben.

Diese Version betrifft nur 5 Dateien. Diese sind bei der Version 2.0.6 zu ersetzen:

  • wp-settings.php
  • wp-includes/version.php
  • wp-includes/functions.php
  • wp-admin/inline-uploading.php
  • wp-admin/post.php

Quellen und weitere Hinweise: