Kritische Magento Sicherheitslücke – Patch (SUPEE-5344) erforderlich!

Written by

Fast still und heimlich hat das Magento Team am 09.02.2015 einen Patch für fast alle Magento Versionen veröffentlicht. Im Netz und per Google lassen sich kaum Infos zum Patch finden daher reichen wir diesen Beitrag erst jetzt nach.

Im Magento Core wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz zu erhalten bzw. Dateien auf dem Server zu speichern. Diese Dateien können später für weitere Angriffe auf externe Ziele oder als Backdoor zum Shop verwendet werden.

Betroffen sind die Magento Versionen CE 1.6 bis CE 1.9 sowie EE 1.11 bis EE 1.14. Auch die aktuellen Versionen CE 1.9.1.0 und EE 1.14.1.0 sind betroffen!

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. rm var/cache/* -rf

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt. Die zu editierenden Dateinamen befinden sich über den geänderten Zeilen.
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden mit einem SSD Business Hosting oder CloudServer können die Updates jederzeit wie oben beschrieben per SSH einspielen, SSD StartUp und Kunden älterer Tarife können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen. – Für das Einspielen des Patches berechnen wir eine einmalige Servicegebühr.

SmarterMail Hosting – Exchange-Ersatz der Spitzenklasse

Written by

Mit unserem SmarterMail Hosting bieten wir kleinen und großen Firmen professionelle Mail-Dienste die es locker mit einer Hosted Exchange Lösung oder einem dedizierten Exchange Server aufnehmen können.

Wie bei all unseren Angeboten haben wir auch bei unseren Business Postfächern größtmöglichen Wert auf maximale Flexibilität und top aktuelle Features gelegt.

Basic Mailbox – mehr als nur ein Postfach!

Die Basic Postfächer haben wir bereits maximal ausgestattet, neben den üblichen Mailfunktionen (POP3, IMAP und SMTP) stellen wir euch einen Jabber Server für die sichere Kommunikation im Team zur Verfügung. Der Dienst spricht das offene Protokoll XMPP und kann daher ohne Probleme in eurem Lieblings Instant-Messenger (Apples iMessage, Adium, Trillian, uvm.) angebunden werden.

Cyren Premium AntiSpam und AntiVirus

Die Sicherheit unserer Dienste war uns schon immer sehr wichtig, daher haben wir bereits der Basic Mailbox die Premium Dienste des Herstellers Cyren spendiert. Das von uns extra gebuchte Sicherheitspaket beinhaltet einen überragenden AntiSpam- und AntiVirus Schutz.

Abgerundet wir unser SmarterMail Hosting durch einen ansprechenden und leicht zu bedienenden Webmailer. Das Interface wird weitestgehend mit Ajax betrieben was für eine schnelle und angenehme Arbeit sorgt, natürlich steht der Webmailer sowohl für den Desktop als auch mobile Geräte zur Verfügung.

Unlimted Mailbox – “All Inclusive” für eure Mails!

Jedes Basic Postfach (POP3, IMAP und SMTP) kann binnen weniger Sekunden zu einem vollwertigen Postfach auf Exchange-Niveau ausgebaut werden. Aus einem einfachen Postfach wird so eine komplette Exchange Lösung mit gemeinsamem Kalender, Notizen und natürlich der Synchronisierung 1000er Clients.

Plattform übergreifende Mail Dienste mit SmarterMail Hosting

Ältere Clients werden von unserem SmarterMail Hosting mit dem EWS-Protokoll von Microsoft versorgt, dies reicht aus um Objekte aus dem Postfach oder dem Kalender zu synchronisieren. Sobald Ihr einen aktuellen Mail-Client wie Outlook 2013 verwendet macht das Ganze richtig Spaß, denn dann stellen wir euch das top aktuelle EAS-Protokoll mit ActiveSync zur Verfügung. Dies ermöglicht eine nahtlose Integration der Exchange Features in euer Outlook 2013!

SmarterMail Hosting – Wann geht es los?

Bei jeder neuen Produkteinführung geben wir zuerst unseren Bestandskunden die Möglichkeit die neuen Services zu nutzen, es wird daher noch ca. 2 Wochen dauern bis die neuen Business Postfächer auf unserer Website bestellbar sind.

Die Basic Postfächer mit 2 GB Speicherplatz werden wir für 0,99 € / Monat und Postfach anbieten, wer möchte kann das Exchange AddOn für 7,50 € pro Postfach dazu buchen. Mehr Speicherplatz erhaltet Ihr bereits ab 10 € / Monat, für 50 € kann die Speicherplatz Limitierung aufgehoben werden. Selbstverständlich ist ein Mengenrabatt möglich wenn mehrere Postfächer gleichzeitig bestellt werden. :)

Aktualisiert am 23.02.2015:
Weitere Informationen findet Ihr auf unserer SmarterMail Hosting Seite.

rackSPEED ist offizieller MagentoDE Partner!

Written by

MagentoDE Banner

Lange hat es gedauert aber nun sind wir endlich MagentoDE Partner!

Ab sofort habt ihr die Möglichkeit die für den deutschen Markt vorkonfigurierte MagentoDE Version mit Hilfe des 1-Klick Installers zu installieren.

Im Gegensatz zur “normalen” Magento-Version startet nach dem ersten Login als Admin ein weiterer Assistent, der euch durch die Einrichtung der für den deutschen Markt benötigten Module führt. Ist dieser Prozess abgeschlossen fehlen nur noch die ersten Artikel bevor Ihr den Verkauf starten könnt. – Der umfangreiche und nicht ganz einfache Anpassungsprozess des Shopsystems an die deutschen Gesetze entfällt durch die Nutzung von MagentoDE vollständig!

Die Highlights von MagentoDE auf einen Blick:

  • komplettes Magento CE vorkonfiguriert für den deutschen Markt
  • inklusive wichtiger Extensions für die Anwendung in Deutschland
  • mit deutschem Sprachpaket
  • PDF Rechnungen, Grundpreisangabe, Anzeige von Versandkosten
  • integrierte Zahlungsarten: Nachnahme, Bankeinzug, Rechnung, PayPal
  • einfache Anbindung an eBay und andere Marktplätze möglich
  • mit der Magento Community entwickelt
  • Trusted Shops vorzertifiziert

Natürlich könnt ihr MagentoDE ab sofort in unserem Testaccount ausprobieren bevor ihr unser Magento Hosting bestellt.

Die Arbeiten zur Implementierung von MagentoAT und MagentoCH laufen bereits auf Hochtouren. ;)

Neuausstellung der SSL-Zertifikate nach Heartbleed-Bug

Written by

Bereits am Dienstag haben wir über den gravierenden OpenSSL-Bug namens „Heartbleed” berichtet und entsprechende Gegenmaßnahmen eingeleitet.

Eine akute Gefahr des Passwort- oder Schlüsseldiebstahls besteht daher seit Dienstag nicht mehr!

Dennoch bleibt ein gewisses Restrisiko was die verwendeten Passwörter und SSL-Zertifikate angeht, da keinerlei Möglichkeit besteht einen evtl. erfolgten Angriff nachzuvollziehen. Auf heise.de findet Ihr eine genaue Erklärung wie der Angriff funktioniert.

Wie geht es nun weiter?

Da die evtl. ausgelesenen Informationen im Zusammenhang mit Sicherheitsfunktionen des Servers stehen, empfehlen wir Euch dringend alle Passwörter zu ändern. Nicht nur bei uns sondern bei eigentlich allen Onlinediensten die Ihr nutzt. – Wir haben in den letzten Tagen bereits mehrfach die Passwörter unserer Server geändert, sicher ist sicher. :)

Was wir noch getan haben?

Darüber hinaus haben wir direkt nach Bekanntwerden der Auswirkungen alle von uns genutzten SSL-Zertifikate (Kundencenter, cPanel, Mail- und FTP-Server) neu generiert (reissue) und auf allen Servern eingebunden. Die zuvor genutzten Zertifikate werden kurzfristig zurückgezogen (revoke). – Damit könnt Ihr der Kommunikation mit unseren Servern und Diensten wieder zu 100% vertrauen, ein evtl. abgegriffener privater Schüssel unserer SSL-Zertifikate ist damit nutzlos geworden. :)

Was Ihr noch tun könnt:

Auch wenn ein Missbrauch evtl. abgegriffener Schlüssel äußerst unwahrscheinlich ist, wird ein Austausch der SSL-Zertifikate von verschiedensten Stellen u.a. dem BSI empfohlen. Wir bieten unseren Kunden daher die kostenlose Neuausstellung der über uns bezogenen Zertifikate an.

Da uns eine solche Aktion, neben dem normalen Tagesgeschäft, vor eine kleine Herausforderung stellt, bitten wir Euch den folgenden Punkteplan zu beachten:

  1. Öffnet ein Support-Ticket im SSL-Zertifikate Bereich mit der / den Domains für die Ihr neue Zertifikate benötigt.  (Login erforderlich!)
  2. Ihr erhaltet kurzfristig weitere Anweisungen zum Ablauf und einen Link mit dessen Hilfe Ihr die Neuausstellung des SSL-Zertifikates (reissue) starten könnt.
  3. Sobald das Zertifikat von der Vergabestelle neu ausgestellt wurde erhalten wir dieses zur Installation auf dem Server.
  4. Unser Support-Team installiert das neue Zertifikat und informiert Euch über den Erfolg.
  5. Ihr könnt nun das alte Zertifikat über den in Punkt 2 erhaltenen Link zurückziehen (revoke).

Wir bemühen uns alle Anfragen zeitnah zu beantworten. Bitten allerdings schon jetzt um euer Verständnis, dass die Bearbeitung einige Tage in Anspruch nehmen wird.

Muss ich mein Zertifikat neu ausstellen lassen?

Nein, nicht zwangsläufig da durch Einsatz der sicheren OpenSSL-Version ein Abgreifen der Informationen zuverlässig verhindert wird! Wird das Zertifikat nicht erneuert, besteht die „Gefahr“ eines „Man-in-the-Middle“ Angriffs bei dem mitgeschnittener Datenverkehr entschlüsselt werden kann. Dies ist allerdings nicht ohne Weiteres möglich. – Nebenbei bemerkt haben einige Banken und große Konzerne heute noch nicht einmal die Lücken gepatcht, geschweige denn die Zertifikate erneuert. ;)

CVE-2014-0160 (Heartbleed) auf allen rack::SPEED Servern gepatcht!

Written by

Die heute bekannt gewordene OpenSSL Sicherheitslücke „Heartbleed“ (CVE-2014-0160) wurde auf allen rack::SPEED Servern gepatcht. Das Problem betrifft nicht nur unsere Server, es ist sehr weit verbreitet und betrifft weltweit verschiedenste Computer- / Betriebssysteme.

Eine ausführliche Beschreibung der Sicherheitslücke und der möglichen Auswirkungen findet Ihr auf heise.de.

Die vom OpenSSL-Team bereitgestellten Updates wurden ohne Auswirkungen auf die Server und deren Betrieb eingespielt. Dennoch mussten alle gegen OpenSSL gelinkten Dienste neugestartet werden um das Sicherheitsupdate sofort zu „aktivieren“. Aufgrund der Neustarts der betroffenen Dienste (Apache, SSH, cPanel, Mail, usw) gab es ganz kurze Serviceunterbrechungen.

Wir bitten evtl. beobachtete kurze Aussetzer zu entschuldigen. Unter Berücksichtigung der Auswirkungen haben wir uns für Dienstneustarts am Tag, und nicht wie sonst üblich in der Nacht, entschieden.

24-Kerne, 96 GB DDR3 RAM, ultraschnelle SSDs…

Written by

… die neue Grundlage für hochperformantes SSD-Webhosting!

Schnell ist uns nicht schnell genug, daher haben wir unsere Server von Grund auf neu geplant und konfiguriert. Das Herzstück bilden 2x XEON E5-CPUs (24-Kerne mit HT), 96 GB DDR3 RAM mit ECC-Fehlerkorrektur, ultraschnelle SSD-Laufwerke, Intel Hardware-RAID 1 und 1000 MBit Netzwerk-Uplink.

Neben der beachtlichen Leistungssteierung haben wir versucht eure Anregungen umzusetzen. Das Resultat ist eine großartige Hosting-Plattform mit zahlreichen Zusatz-Features!

Jede Website hat irgendwann Saison, daher haben wir uns etwas ganz besonderes einfallen lassen: Der +100% Saison-Turbo! – Bis zu 3 Monate +100% Leistung für deine Website, je nach Tarif für 1 oder 3 Monate aktivierbar. Kein Serverumzug, kein Ausfall, kein Umzugs-Stress in der heißen Phase!

Ab sofort könnt ihr zwischen den PHP Versionen 5.2, 5.3 und 5.4 per Mausklick wechseln, auch die Konfiguration der bereitgestellten PHP-Extensions ist frei konfigurierbar.

Ein Pluspunkt für Entwickler ist die Integration von mod_pagespeed, GIT und SSH-Zugang.

Abgerundet wird das Ganze durch lange Scriptlaufzeitengroßzügig bemessener PHP-Speicher, 100% Ökostrom aus Wasserkraft und eine aktuelle MySQL 5.5 Instanz.

Notiert euch bereits jetzt den Promo-Code RELAUNCH2013 für den kommenden Montag! :)

VM-Hosting oder “Der (kleine) eigene Server”

Written by

Zu Beginn diesen Monats haben wir bereits ausführlich über die in Kürze erscheinenden VM-Hosting Angebote berichtet.

Aufgrund der begrenzten Kundenzahl und der daraus resultierenden geringen Verfügbarkeit haben wir zuerst unseren Bestandskunden die Möglichkeit eines Upgrades angeboten.

Ab sofort möchten wir diese Angebote auch Neukunden zur Verfügung stellen und haben daher unsere Website entsprechend erweitert. Die neuen Seiten können Sie über die folgenden Links oder direkt über unsere Website aufrufen:

Die Angebote richten sich vor allem an größere oder stark besuchte Shops die einen höheren Performancebedarf haben und stellen die nächste Ausbaustufe unserer Angebote dar. In Kürze werden wir Ihnen auch offiziell Managed-Server anbieten um unser Angebot zu vervollständigen. Sollten Sie bereits jetzt Bedarf haben sprechen Sie uns einfach an, wir erstellen Ihnen bereits jetzt gerne ein unverbindliches Angebot.

PCI Compliance die Erste

Written by

Die PCI Compliance (Payment Card Industry Data Security Standard) ist ein Regelwerk für den sicheren Zahlungsverkehr und Umgang mit Kreditkarteninformationen.

Unternehmen und Dienstleister die mit Kreditkarteninformationen in Berührung kommen müssen die PCI-Anforderungen zu 100% einhalten. Ist dies nicht der Fall kann die Verarbeitung von Kreditkartenzahlungen untersagt oder ein hohes Bußgeld verhängt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Quelle: wikipedia

Da wir hauptsächlich PCI Compliance taugliche Magento Online-Shops hosten und unseren Kunden größtmögliche Freiheit bieten wollten haben wir den Test gemacht. Das Ergebnis der Serversicherheit war sehr gut, lediglich unser Livechat-Script hatte eine kleine (nicht kritische) Sicherheitslücke. – Diese Lücke führte allerdings dazu, dass der Test nicht erfolgreich war.

Das Chatscript wurde deaktiviert, derzeit läuft die Einrichtung des neuen Livesupport-Scripts Livezilla. Neben einer sauberen Programmierung und einer schöneren Oberfläche bietet das System mehr nützliche Funktionen, welche in einem extra Beitrag ausführlich vorgestellt werden.

Die erneute Prüfung der Server werden wir in Kürze vornehmen.