Archive for Oktober, 2014

PHP 5.6 auf allen neuen Webservern

Mittwoch, Oktober 22nd, 2014

Ab sofort steht auf allen neuen Webservern PHP in der Version 5.6 zur Verfügung.  In unseren FAQ finden Sie eine Anleitung, wie sich PHP 5.6 für Ihren Benutzeraccount aktivieren lässt.

Kunden, die derzeit noch auf älteren Webservern liegen und PHP 5.6 daher noch nicht nutzen können, werden in den nächsten Wochen auf neuere Webserver umgezogen. Neu eingerichtete Benutzeraccounts werden ausschließlich auf neuen Webservern eingerichtet.

Ruhe in Frieden: SSL 3

Montag, Oktober 13th, 2014

SSL und TLS werden im Internet zum Verschlüsseln des Datenverkehrs zwischen Clients und Servern verwendet.  Es findet unter anderem Verwendung bei dem verbreiteten HTTPS-Protokoll, aber auch beispielsweise bei der Kommunikation zwischen E-Mail-Servern. Bei SSL handelt es sich ursprünglich um einen Standard von Netscape, während TLS seit 1999 der offizielle Nachfolger ist und von der IETF – dem Standardorgan des Internets – spezifiziert wird.

Da uns die Sicherheit der von unseren Kunden genutzten Dienste sehr am Herzen liegt, hatten unsere Server stets sehr ausgefeilte TLS-Konfigurationen, die maximale Sicherheit mit praktikabler Kompatibilität balancierten.  Deshalb war auch SSL in der Version 3 (die letzte Version vor TLS aus dem Jahr 1996!) aktiviert, da es keine handfesten Gründen dagegen gab.

Da sich nun jedoch die Gerüchte mehren (hier oder hier), dass Microsoft in dieser Woche kritische Probleme mit SSL 3 veröffentlichen will, nehmen wir es zum Anlass und deaktivieren es auf allen unseren Systemen.

Das bedeutet, dass ab sofort nur noch Verschlüsselung mit TLS 1.0 (aus dem Jahr 1999!) und neuer möglich ist.

In der Praxis bedeutet dies, dass Internet Explorer 6 unter Windows XP nicht mehr auf HTTPS-Seiten auf unseren Servern zugreifen kann.

Es ist jedoch weiterhin möglich unter Windows XP mit Internet Explorer 8, Firefox oder Chrome diese Seiten abzurufen. Wir denken daher nicht, dass ernsthafte Einschränkung bei der Nutzung unserer Webserver zu erwarten sind. Ebenfalls aktualisiert wurden die Konfigurationen unserer E-Mail-Server.

Update vom 15.10.2014: Mittlerweile wurde die Schwachstelle von Google (statt wie anfangs vermutet Microsoft) veröffentlicht: sie wurde POODLE getauft und ist ein naher Verwandter des älteren BEAST-Angriffs. Das bedeutet, es benötigt einen aktiven Angreifer und ist somit nicht mit Shellshock oder gar Heartbleed vergleichbar. Wir sehen uns in der Maßnahme, SSL 3 abzuschalten bestätigt. Es sind keine weiteren Maßnahmen notwendig.

Bash-Sicherheitslücke „ShellShock“

Donnerstag, Oktober 2nd, 2014

Am 24.09. wurde eine Sicherheitslücke in der auch auf unseren Webservern verwendeten Unix-Shell „Bash“ bekannt, die es Angreifern per HTTP ermöglicht, über CGI-Scripte (PHP, Python, Perl) mit Shell-Aufrufen eigene Befehle auf dem Webserver auszuführen (CVE-2014-6271). Für diese Sicherheitslücke waren wenige Stunden nach Bekanntwerden Patches verfügbar, die wir selbstverständlich sofort auf allen Servern eingespielt haben.

In den folgenden Tagen wurden weitere Probleme in Bash bekannt, die jedoch weniger schwerwiegende Angriffsmöglichkeiten auf unseren Servern geboten haben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 CVE-2014-6278). Auch für diese Sicherheitslücken haben wir kurz nach Bekanntwerden Patches installiert.

In den Webserver-Logs finden sich keine Hinweise, dass diese Sicherheitslücken in der Zeit zwischen Bekanntwerden bis zum Einspielen der Updates von Angreifern ausgenutzt wurden.