Sicherheits-Update: TYPO3 Version 4.2.4

Das gestern veröffentlichte TYPO3 Update behebt mehrere Sicherheitslücken die von den Entwicklern als hoch eingestuft werden.

Betroffen von den Sicherheitslücken sind das Install-Tool, die Authentifizierungs-Bibliothek, die Indexed Search-Extension, die Erweiterung ADOdb und das Workspace-Modul. Die Entwickler raten das bereitgestellte Update kurzfristig einzuspielen!

Weitere Infos befinden sich im TYPO3 Security Bulletin TYPO3-SA-2009-001


GET /roundcube/bin/msgimport – Exploit

So wie es aussieht gibt es einen ganz frischen Exploit im RoundCube Webmailer, seit gestern ist die Anzahl der Zugriffe auf die folgenden Dateien rasant in die Höhe geschossen. Ursprung der Zugriffe scheinen verschiedene große Botnetze zu sein.

GET /roundcube/bin/msgimport
GET /webmail/bin/msgimport

Da bisher weder die Entwickler von RoundCube noch eine andere Internetseite den genauen Grund der Zugriffe kennt, sollte der Zugriff in jedem Fall vorübergehend gesperrt werden. Eine IP-Sperre bringt leider nicht viel, da es zu viele verschiedene sind.

Eine schnelle und sichere Methode ist mod_security mit folgender Regel:

SecRule REQUEST_URI "@contains /msgimport" "log,drop,msg:'unknown attack! Denied!'"

Sobald es neue Erkenntnisse gibt werden wir den Beitrag ergänzen.


Schneechaos oder ein ganz normaler Januar?

Bevor wir in die erste Arbeitswoche des neuen Jahres starten vorab ein paar winterliche Impressionen aus dem verschneiten Krefeld. Derzeit versinkt die Stadt unter einer 10 – 12 cm hohen Schneedecke.

Alleine in NRW staut sich der Verkehr auf den Straßen ca. 280km, so dass die Polizei und THW bereits jetzt heiße Getränke und warme Wolldecken auf den Autobahnen verteilen. Die Flughäfen Düsseldorf und Köln haben den Flugverkehr vorerst komplett eingestellt.

Es bleibt spannend wie sich das Ganze weiterentwickeln wird, da in den kommenden Tagen die Temperaturen bis auf -20°C fallen sollen.

Schneechaos in NRW

Neujahrsgrüße

Das rack::SPEED-Team wünscht allen Kunden und Besuchern unserer Website ein gesundes und erfolgreiches Jahr 2009.

Auch in diesem Jahr werden wir alles unternehmen um weiterhin die schnellsten Magento Hosting-Pakete und einen schnellen kompetenten Support zu bieten. Die Planung weiterer sinnvoller Services und Angebote ist bereits in vollem Gange, so dass Sie sich auch dieses Jahr auf zahlreiche Neuerungen und Verbesserungen freuen dürfen.


Update: Magento Version 1.2 soeben erschienen!

Soeben ist die neue Version 1.2 von Magentocommerce freigegeben worden. Neben zahlreichen Bugfixes wurden neue Funktionen implementiert:

  • Unterstützung digitaler Produkte
  • Filter-Navigation auf der Suchergebnisseite
  • Verbesserte Volltext-Suche
  • Upgrade des Zend Frameworks auf Version 1.7.2
  • Filter-Navigations Cache zur Verbesserung der Performance bei großen Artikelbeständen

Wie immer gilt, BACKUP erstellen und KEINEN Produktiv-Shop aktualisieren!

s. Magento Update – so wird gemacht!

EDIT: Das Update unseres Demo-Shops verlief problemlos.


Frohe Weihnachten

Das rack::SPEED Team wünscht allen Kunden und Lesern frohe Weihnachten und einen guten Rutsch ins Jahr 2009!

Auch im nächsten Jahr werden wir mit schnellen Hosting-Paketen und einem erstklassigen Support für Sie da sein. Neue Services und weitere Hosting-Angebote stehen bereits in den Startlöchern, lassen Sie sich überraschen…


PCI Compliance die Zweite

Der Bericht der zweiten Prüfung von McAfee Secure liegt nun vor.

Alle Security-Tests wurden erfolgreich bestanden, damit erfüllen wir nun die Anforderungen sowohl für McAfee Secure als auch einen Teil der PCI-Compliance. Letztere wird noch durch einen Fragebogen zur Infrastruktur ergänzt, welcher in den kommenden Tagen ausgefüllt wird.

Da der Fragebogen und dessen Auswertung noch fehlt sind wir derzeit noch nicht als PCI-Compliance tauglich zertifiziert. Es freut uns dennoch sehr die Server bereits alle Tests gemeistert haben und somit sicher sind.


Apache 2.2.11 und PHP 5.2.8 auf allen Systemen verfügbar

Nachdem am Montag morgen die Server mit der aktuellen Version des Apache und PHP wurden, gab cPanel gestern Abend die Version 2.2.11 des Apachen frei. Da das Update eine Sicherheitslücke schließt wurde heute morgen das Update des Apachen erneut durchgeführt. – Da es sich um einen kleineren Eingriff handelte verlief alles problemlos und ohne Unterbrechung.

Spätestens heute Mittag hätte das Update für den erneuten PCI Compliance Scan eingespielt werden müssen.