Dirty COW: CVE-2016-5195 auf allen Servern gepatcht!

CVE-2016-5195 Dirty COW

Vor ca. 6 Tagen berichteten die ersten News-Seiten über CVE-2016-5195 aka “Dirty COW“. Da wir das Thema Server-Sicherheit sehr ernst nehmen haben wir bereits 24h Stunden später die Lücke durch einspielen eines In-Memory Patches auf unseren Hosting-Servern behoben. – Ein Großteil unserer Kunden ist seitdem sicher!

Das offizielle Kernel-Update wurde erst heute Morgen veröffentlicht, so dass wir dieses erst jetzt einspielen können. Damit das Kernel-Update aktiv werden kann muss der Server neugestartet werden, diese Neustarts lassen sich nicht vermeiden und werden daher in den folgenden Nächten durchgeführt.

Auch wenn die Sicherheitslücke an sich besonders schwer ist, so existiert diese seit über 9 Jahren in nahezu allen Linux-Distributionen. Derzeit ist daher nahezu jedes Linux-System auf diesem Planeten angreifbar, dies betrifft besonders Shops / Websites / Projekte die über fehlende Sicherheitsupdates gehackt werden und so nicht vertrauenswürdigen Benutzern den Zugriff auf den Server gestatten.

Weitere Infos zum technischen Hintergrund gibt es unter anderem bei Heise Security.


Sicherheitsupdate: Magento SUPEE-8788

Phishing Alarm
Es gibt auf der Download Seite eine aktualisierte Version für die Magento-Versionen 1.5.0.1 – 1.9.2.4 die einige Fehler des Updates behebt! Diese sollte unbedingt verwendet werden, d.h. notfalls muss der bereits installierte Patch wieder entfernt und neu eingespielt werden.

Soeben hat das Magento Team ein Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-8788 und beseitigt 5 kritische und 12 wichtige Sicherheitslücken.

Die Probleme sind dieses mal so vielfältig das direkt eine komplett neue Magento Version 1.9.3 erstellt wurde, die Sicherheitsprobleme betreffen daher alle im Einsatz befindlichen Magento-Versionen! 

Wie immer sollte dieser Patch schnellstmöglich eingespielt werden um einen Hack oder den Abfluß sensibler Kundendaten zu unterbinden, auf die einzelne Auflistung der Schwachstellen verzichten wir an dieser Stelle. Die vergangenen Patches haben gezeigt das bekannte Lücken bereits wenige Stunden nach Bekanntwerden ausgenutzt werden, wir gehen davon aus das dies nicht länger als 72 Stunden dauern wird.

Mit den folgenden Tools könnt ihr schnell prüfen ob euer Shop sicher ist bzw. welche Patches fehlen:

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Nextcloud Hosting – Unsere sichere Alternative zur Dropbox!

Wir haben die Zeit des eher durchwachsenen Sommers genutzt und einige neue Angebote und Services für euch entwickelt, optimiert und zur Marktreife gebracht. Beginnen wollen wir heute mit der Vorstellung des Nextcloud Hosting – unsere absolut sichere Alternative zur Dropbox ab 4,99 € / Monat! – An dieser Stelle möchten wir euch schon verraten das jeder Bestandskunde ein kostenloses Nextcloud-Hosting geschenkt bekommt, unser Newsletter der nächsten Tage wird weitere Infos enthalten 🙂

 

Nextcloud Logo

Jeder von euch kennt sicher die Dropbox zur Ablage und Austausch von Dateien. Mindestens jeder Zweite hat sich sicher schon einmal gefragt, wo die ganzen Daten eigentlich gespeichert werden und wer alles Zugriff darauf hat. Die Server stehen nicht im abgesicherten europäischen Raum sondern im wilden Westen der USA! – Damit scheidet eine Ablage von Firmendaten in der Dropbox eigentlich schon aus da das Bundesdatenschutzgesetz genaue Vorschriften zur Ablage von Daten auf Servern und deren Standort macht.

Richtig gruselig wird es wenn ihr euch die AGB von Dropbox einmal genauer anschaut, dort steht unter anderem folgendes:

“Diese und andere Funktionen erfordern den Zugriff und das Scannen Ihrer Daten durch unsere Systeme. Sie erteilen uns die Genehmigung, diese Aufgaben auszuführen, und diese Genehmigung erstreckt sich auch auf die Drittanbieter, mit denen wir zusammenarbeiten.”

Alle Mitarbeiter des Unternehmens und alle Kooperationspartner haben den vollen Zugriff auf die Daten obwohl Dropbox augenscheinlich mit AES 256-bit verschlüsselt. Seit den Veröffentlichungen durch Edward Snowden im Jahre 2013 steht fest, dass die NSA zu den Kooperationspartnern gehört und direkten Zugriff auf die gespeicherten Schlüssel und somit eure Daten hat!

Damit steht fest das sich Dropbox nicht zur Ablage von Firmen- und / oder privaten Daten eignet.

Wir garantieren euch das wir unsere Server in deutschen Rechenzentren nach deutschem Recht betreiben und uns strikt an das Bundesdatenschutzgesetz halten. Damit ist unser Nextcloud Hosting für alle interessant die Wert auf den Schutz Ihrer Daten legen und dabei nicht auf Vorzüge einer automatischen Synchronisierung bzw. einfaches Teilen der Ihrer Daten legen.

Gleiches gilt übrigens für das aktuelle Angebot von Amazon: “Unendlicher Speicherplatz” für 70€ / Monat! Das können wir auch und wie wir finden sogar noch viel besser:

“Unendlicher Speicherplatz” in einem deutschen Rechenzentrum geschützt vor den neugierigen Blicken Dritter, bereits ab 58,33 €! 😉

Bestelle dein Nextcloud Hosting noch heute! – Gerne helfen wir dir beim Umzug deiner Daten, sprich uns einfach an!


cPanel Phishing Mails im Umlauf!

Phishing Alarm

Zwei Kunden berichteten uns heute von täuschend echt aussehenden eMails welche angeblich von email@cpanel.com verschickt wurden. In der Mail wird der Benutzer aufgefordert innerhalb von 24 Stunden zu reagieren damit der Account nicht gelöscht wird, dies ist natürlich absoluter Unsinn!

Es handelt sich um klassische Phishing eMails deren einziger Sinn darin besteht eure Zugangsdaten zu stehlen! Wir empfehlen daher die Mail sofort zu löschen, sollte es wirklich wichtige Informationen geben berichten wir in unserem Blog darüber und informieren euch per Newsletter darüber.

Dear Customer,

Due to recent upgrade with our SSL server you are required to login and
update your account failure to do so will result to closing your mail
account in 24 working hours. To cancel the termination you are required
to follow the SSL upgrade below.

CLICK HERE <http://tinyurl.com/grcrkef>

All files on your Mail Account including (Inbox, Sent, Spam, Trash,
Draft) will be deleted and access to your Email address will be Denied.

Sincerely,
Mail Team Customer Service

Nützliche Infos wie ihr Phishing Mails erkennen könnt gibt es unter anderen hier.


AlwaysOnSSL – Ab sofort kostenlose SSL-Zertifikate für alle!

AlwaysOnSSL

Wie bereits in unserem Geburtstags-Post angekündigt gehören wir zu den ersten Hostern weltweit die ihren Kunden komplett kostenlose SSL-Zertifikate zur Verfügung stellen können. Die Zertifikate werden von AlwaysOnSSL (Powered by Symantec) bzw. GeoTrust zur Verfügung gestellt, GeoTrust gehört zu den führenden Anbietern von SSL-Zertifikaten wie zB unseren kostenpflichtigen Premium SSL-Zertifikaten. – Ein großer Vorteil der AlwaysOnSSL-Zertifikate gegenüber der Let’sEncrypt Initiative besteht in der enorm hohen Browserabdeckung von fast 100%!

Simon hat sich in den letzten Wochen größte Mühe gegeben die Ausstellung komplett zu automatisieren, d.h. ihr könnt die AlwaysOnSSL-Zertifkate ab sofort per Klick in eurem cPanel bestellen. – Der Vorgang bis zur vollen Einsatzbereitschaft dauert ca. 60 Sekunden.

Da einige Anforderungen erfüllt sein müssen damit AlwaysOnSSL genutzt werden kann laufen beim ersten Klick im cPanel einige Checks im Hintergrund, habt daher bitte etwas Geduld. Simon arbeitet bereits an einer v2 des Plugins. 😉

Vorab-Checks in Ordnung, AlwaysOnSSL kann installiert werden.

Die Vorab-Checks waren in Ordnung, AlwaysOnSSL kann innerhalb von 60 Sekunden installiert werden!

AlwaysOnSSL installiert

AlwaysOnSSL ist aktiv und kann ab sofort genutzt werden.

alwaysonssl-browserleiste

Das grüne https:// steht für eine verschlüsselte Verbindung.

Browser SSL-Verschlüsselung

Der Browser gibt “grünes” Licht, die Verbindung ist jetzt verschlüsselt!


Sicherheitsupdate: Magento SUPEE-7405

Gestern hat das Magento Team ein Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-7405 und beseitigt über 20 kritische Sicherheitslücken.

Wie immer sollte dieser Patch schnellstmöglich eingespielt werden um einen Hack oder den Abfluß sensibler Kundendaten zu unterbinden, auf die einzelne Auflistung der Schwachstellen verzichten wir an dieser Stelle. Die vergangenen Patches haben gezeigt das bekannte Lücken bereits wenige Stunden nach Bekanntwerden ausgenutzt werden.

Auf Github gibt es eine Skriptsammlung die euch dabei hilft Fehler zu suchen und (automatisch) zu lösen, der Einsatz erfordert allerdings einen SSH-Zugang. Unser Magento Hosting SSD Business M und größer stellt euch einen solchen Zugang zur Verfügung.

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Sicherheitsupdate: Joomla 3.4.6 erschienen!

Mit dem neuem Joomla Update 3.4.6 wird nun endlich eine Sicherheitslücke die bereits seit Joomla 1.5 bestehen soll beseitigt.

Wo besteht das Problem ?

Das Hauptproblem liegt laut den Entwicklern darin, dass Angreifer in älteren Joomla-Versionen mithilfe von SQL-Injections die Kontrolle über Joomla Websites übernehmen können.

Des Weiteren können Angreifer durch ein Problem beim Lesen der im Joomla-Installationspaket XML-Datei Zugriff auf eure Daten bekommen. Das Problem betrifft die Versionen 3.4.0 bis 3.4.5.

Wir empfehlen daher schnellstmöglich updaten um sich vor Angreifern zu schützen.

Was steckt im Update?

Die Version 3.4.6 enthält keine neuen Funktionen, es wird nur der Sicherheitspatch geliefert. Das Update sollte ohne Probleme installierbar sein, dennoch solltest ihr ein Backup eurer Joomla Installation erstellen!

Upgrade jetzt!

Der Download steht unter https://joomla.org für die Installation bereit.


Sicherheitsupdate: Magento SUPEE-6788

Vergangenen Mittwoch hat das Magento Team ein weiteres Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-6788 und beseitigt 10 kritische Sicherheitslücken.

Wir veröffentlichen diesen Beitrag erst jetzt da dieser Patch, im Gegensatz zu den Vorherigen, tief gehende Veränderungen an der Magento Software durchführt. Dies führt dazu das nach Installation des Patches diverse Extensions nicht mehr korrekt funktionieren. Laut einer Liste von Coding Basics sind knapp 800 Extensions betroffen. Ein öffentlich verfügbares Google Spreadsheet und die „Technical Details“ des Patches enthalten genauere Infos zu den Problemen. – In den meisten Fällen lässt sich die Konfigurationsseite im Admin-Bereich nicht öffnen.

Damit nicht tausende Shop direkt nach der Installation des Patches offline gehen ist der entsprechende Teil des Patches deaktiviert und muss nach der Installation im Magento Backend aktiviert werden. Den Menüpunkt „Enable Admin routing compatibility mode“ findet Ihr im Adminbereich: System => Konfiguration => Admin => Sicherheit.

Aufgrund der Kompatibilitätsprobleme können wir euch nur einen halbautomatischen Patch-Service anbieten, d.h. Ihr müsst direkt nach der Installation des Patches die Funktionen des Shops prüfen und ggf. auftretende Fehler von Hand lösen. Auf Github gibt es eine Skriptsammlung die euch dabei hilft Fehler zu suchen und (automatisch) zu lösen, der Einsatz erfordert allerdings einen SSH-Zugang. Unser Magento Hosting SSD Business M und größer stellt euch einen solchen Zugang zur Verfügung.

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Magento Security Scanner – test your shop!

In den vergangenen Monaten haben wir ausführlich über die Sicherheitslücken im beliebten Shopsystem Magento berichtet. Wer möchte kann diese im Bereich Security noch einmal nachlesen.

Magereport.com – Magento Security Scanner

Unsere niederländischen Kollegen von byte.nl haben die Vielzahl der Angriffsvektoren zum Anlass genommen einen Scanner zu schreiben mit dessen Hilfe Ihr euren Magento Shop überprüfen könnt. Bereits wenige Sekunden nach Eingabe der Shop-URL liefert der Scanner eine schöne Übersicht der zu flickenden Sicherheitslücken inkl. farblicher Markierung von gelb bis rot. – Wir empfehlen allen Kunden Ihren Shop auf mögliche Sicherheitslücken zu prüfen!

Zum Magento Security Scanner.

Magmi Data Import – voller Zugriff auf Magento

Das Importtool muss nach der Installation gegen Zugriffe von außen geschützt werden da es weitreichenden Zugriff auf den Magento Shop bietet, leider vergessen dies sehr viele Shopbetreiber nach der Installation. – Hilfe findet Ihr im offiziellen Magmi Wiki.

NGINX – Fehler erlaubt Zugriff auf Cache-Dateien

Durch Fehlkonfiguration des NGINX Webservers ist es möglich die Cache-Dateien des Magento Shops auszulesen. Neben den Kundendaten befinden sich hier unter Anderem die Zugangsdaten zur Datenbank und die Zahlungsdaten der Kunden des Shops. – Wer Magento mit NGINX befeuern möchte sollte sich daher unbedingt an einer geprüften Beispielkonfiguration orientieren und das Rad nicht unbedingt neu erfinden.


Kritisches Sicherheitsupdate: Magento SUPEE-6285

Gestern hat das Magento Team neben den bereits bekannten Patches SUPEE-5344 und SUPEE-5994, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-6285 veröffentlicht.

Betroffen sind alle Magento Versionen kleiner 1.9.2!

Laut Changelog wurden folgende Lücken geschlossen:

Customer Information Leak via RSS and Privilege Escalation: Fehlerhafte Checks führen dazu das Kundeninformationen (Bestellinfos, Bestell IDs, Kundenname) ausgelesen werden können. Mit diesen Daten sind weitere Angriffe auf Gastbestellungen möglich. In seltenen Fällen können Admin-Rechte erlangt werden!

Request Forgery in Magento Connect Leads to Code Execution: CSRF im Magento Connect Manager erlaubt die Installation von Modulen wenn ein eingeloggter Shop-Administrator auf einen präparierten Link klickt.

Cross-site Scripting in Wishlist: Ermöglicht den Versand von Phishing eMails über den Shop.

Cross-site Scripting in Cart: Über URL-Parameter kann JavaScript in den Checkout injiziert werden, dies ermöglicht das abgreifen von Cookie-Informationen. Mit Hilfe der Cookie Informationen kann sich der Angreifer als Kunde des Shops ausgeben.

Store Path Disclosure: Durch direkten Aufruf von Magento Connect URLs werden Fehlerseiten, unabhängig der Servereinstellung, generiert die Informationen zum Installationspfad des Shops enthalten.

Permissions on Log Files too Broad: Dateirechte von Logfiles sind zu offen, Kunden des gleichen Servers können die Logs anderer Kunden auslesen oder manipulieren. (Wir kapseln unsere Kunden in kleinen Containern, ein Übergriff ist somit nicht möglich. :))

Cross-site Scripting in Admin: Injektion von Javascript im Adminbereich ermöglicht die Übername eines anderen Admin-Accounts.

Cross-site Scripting in Orders RSS: Ermöglicht das einfügen von falschen Informationen in den “Neue Bestellungen” RSS-Feed.

Wie wir bereits aus SUPEE-5344 und SUPEE-5994 gelernt haben sind ungepatchten Magento Versionen nach 48h erfolgreich angegriffen worden, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum 🙂