Hier schreiben die Variomedianer!
Ab sofort steht auf allen neuen Webservern PHP in der Version 5.6 zur Verfügung. In unseren FAQ finden Sie eine Anleitung, wie sich PHP 5.6 für Ihren Benutzeraccount aktivieren lässt.
Kunden, die derzeit noch auf älteren Webservern liegen und PHP 5.6 daher noch nicht nutzen können, werden in den nächsten Wochen auf neuere Webserver umgezogen. Neu eingerichtete Benutzeraccounts werden ausschließlich auf neuen Webservern eingerichtet.
SSL und TLS werden im Internet zum Verschlüsseln des Datenverkehrs zwischen Clients und Servern verwendet. Es findet unter anderem Verwendung bei dem verbreiteten HTTPS-Protokoll, aber auch beispielsweise bei der Kommunikation zwischen E-Mail-Servern. Bei SSL handelt es sich ursprünglich um einen Standard von Netscape, während TLS seit 1999 der offizielle Nachfolger ist und von der IETF – dem Standardorgan des Internets – spezifiziert wird.
Da uns die Sicherheit der von unseren Kunden genutzten Dienste sehr am Herzen liegt, hatten unsere Server stets sehr ausgefeilte TLS-Konfigurationen, die maximale Sicherheit mit praktikabler Kompatibilität balancierten. Deshalb war auch SSL in der Version 3 (die letzte Version vor TLS aus dem Jahr 1996!) aktiviert, da es keine handfesten Gründen dagegen gab.
Da sich nun jedoch die Gerüchte mehren (hier oder hier), dass Microsoft in dieser Woche kritische Probleme mit SSL 3 veröffentlichen will, nehmen wir es zum Anlass und deaktivieren es auf allen unseren Systemen.
Das bedeutet, dass ab sofort nur noch Verschlüsselung mit TLS 1.0 (aus dem Jahr 1999!) und neuer möglich ist.
In der Praxis bedeutet dies, dass Internet Explorer 6 unter Windows XP nicht mehr auf HTTPS-Seiten auf unseren Servern zugreifen kann.
Es ist jedoch weiterhin möglich unter Windows XP mit Internet Explorer 8, Firefox oder Chrome diese Seiten abzurufen. Wir denken daher nicht, dass ernsthafte Einschränkung bei der Nutzung unserer Webserver zu erwarten sind. Ebenfalls aktualisiert wurden die Konfigurationen unserer E-Mail-Server.
Update vom 15.10.2014: Mittlerweile wurde die Schwachstelle von Google (statt wie anfangs vermutet Microsoft) veröffentlicht: sie wurde POODLE getauft und ist ein naher Verwandter des älteren BEAST-Angriffs. Das bedeutet, es benötigt einen aktiven Angreifer und ist somit nicht mit Shellshock oder gar Heartbleed vergleichbar. Wir sehen uns in der Maßnahme, SSL 3 abzuschalten bestätigt. Es sind keine weiteren Maßnahmen notwendig.
Am 24.09. wurde eine Sicherheitslücke in der auch auf unseren Webservern verwendeten Unix-Shell “Bash” bekannt, die es Angreifern per HTTP ermöglicht, über CGI-Scripte (PHP, Python, Perl) mit Shell-Aufrufen eigene Befehle auf dem Webserver auszuführen (CVE-2014-6271). Für diese Sicherheitslücke waren wenige Stunden nach Bekanntwerden Patches verfügbar, die wir selbstverständlich sofort auf allen Servern eingespielt haben.
In den folgenden Tagen wurden weitere Probleme in Bash bekannt, die jedoch weniger schwerwiegende Angriffsmöglichkeiten auf unseren Servern geboten haben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 CVE-2014-6278). Auch für diese Sicherheitslücken haben wir kurz nach Bekanntwerden Patches installiert.
In den Webserver-Logs finden sich keine Hinweise, dass diese Sicherheitslücken in der Zeit zwischen Bekanntwerden bis zum Einspielen der Updates von Angreifern ausgenutzt wurden.
Wir haben aufgrund möglicher Sicherheitsprobleme auf den Webservern eine Änderung an der Server-Konfiguration vornehmen müssen. Die Konfigurationsdirektive “FollowSymLinks” kann ab sofort nicht mehr in .htaccess-Dateien benutzt werden. Falls Sie diese Option nutzen, wird für Ihre Webseite jetzt eine Fehlermeldung angezeigt.
Bitte entfernen Sie diese Option in allen .htaccess-Dateien, oder ersetzen sie durch “SymLinksIfOwnerMatch”. Wir nehmen diese Änderung im Laufe des Tages automatisch für alle bestehenden .htaccess-Dateien vor.
Update: Die Option “All” kann ebenso nicht mehr in .htaccess-Dateien benutzt werden, da sie “FollowSymLinks” impliziert.
Unter dem Namen “Heartbleed” ist in der Nacht von Montag zu Dienstag dieser Woche ein Fehler in der freien Software “OpenSSL” bekannt geworden, der sehr weitreichende Folgen für alle Internet-Nutzer hat. Heise Online schreibt dazu:
Die weit verbreitete Krypto-Bibliothek OpenSSL enthielt einen Programmierfehler, der es erlaubte, von betroffenen Systemen geheime Schlüssel, Passwörter und andere Daten auszulesen. Krypto-Guru Bruce Schneier stuft den Fehler als “Katastrophe” ein: “Auf einer Skala von 0 bis 10 ist das eine 11”.
Betroffen sind zahlreiche Dienste im Internet, die diese Software einsetzen – von Facebook, über Dropbox bis zu Yahoo und Google. Aktuelle Informationen und eine umfangreiche Erklärung des Fehlers finden Sie unter http://www.heise.de/thema/Heartbleed. Eine aktuelle Liste großer betroffener Dienste finden Sie hier.
Es gibt zwei Ebenen, auf denen SSL und der Heartbleed-Bug bei uns eine Rolle spielen:
Es gibt im Moment keine Hinweise darauf, dass der OpenSSL-Fehler ausgenutzt wurde und Daten unserer Kunden missbraucht wurden – eine endgültige Sicherheit gibt es diesbezüglich jedoch nicht. Wir haben wenige Minuten nach Bekanntwerden des Bugs ein Update auf allen Servern eingespielt, das den Fehler behebt. In den letzten Tagen wurden außerdem alle SSL-Zertifikate ausgetauscht, deren Schlüssel potentiell kompromittiert gewesen sein könnten.
Wir empfehlen dennoch allen Kunden, alle Passwörter zu ändern, d.h. insbesondere Passwörter für:
Nicht unmittelbar betroffen sind folgende Dienste, bei denen wir dennoch die Änderung von Passwörtern empfehlen:
Es ist eine gute Gelegenheit, wirklich sichere Passwörter zu vergeben. Hilfreiche Tipps dazu finden Sie auf den Seiten des BSI (Bundesamt für Sicherheit in der Informationstechnik).
Für Fragen stehen Ihnen wir Ihnen gerne zur Verfügung!
Es gibt aktuell eine schwere Sicherheitslücke in der Joomla Dateimanager Extension “eXtplorer”, die es Angreifern ermöglicht, beliebige Dateien auf Webserver hochzuladen. Diese Sicherheitslücke wurde in den vergangenen Tagen bereits mehrfach ausgenutzt, um Spam über unsere Webserver zu versenden. Falls Sie diese Extension in einer älteren Version als 2.1.5 vom 19.12.2013 benutzen sollten Sie dringend auf die aktuelle Version updaten.
Bitte prüfen Sie auch stets, ob für Joomla selbst und alle installierten Plugins und Erweiterungen neue Versionen verfügbar sind.
Vom 10.-13. Oktober zieht es unsere Entwickler nach Budapest, Ungarn, zur diesjährigen RuPy Conference. Neben vielen Fachvorträgen zu Python und JavaScript werden wir uns mit anderen Entwicklern über Projekte und Best-Practices austauschen.
Wir würden uns freuen Sie auf der Konferenz persönlich kennenzulernen, bei Interesse kontaktieren Sie uns doch einfach spontan per Twitter oder Facebook.
Dieser Artikel betrifft Sie nur, falls Sie Ihre Webseite per HTTPS betreiben.
Auf der aktuellen Black Hat-Konferenz wurde ein neuer Angriff gegen SSL/TLS vorgestellt, von dem unsere Kunden betroffen sein könnten: BREACH. Bei dem Angriff wird – vereinfacht gesagt – ein Zusammenspiel von HTTP-Komprimierung und SSL/TLS-Verschlüsselung ausgenutzt, um die Verschlüsselung auszuhebeln.
Der beste Schutz besteht darin, die HTTP-Komprimierung auszuschalten. Dies ist auch die Standardeinstellung auf unseren Servern. Sie kann jedoch per .htaccess manuell aktiviert werden und es ist nicht auszuschließen, dass dies bei Ihnen unbemerkt geschah, sofern Sie Drittsoftware installiert haben.
Ob Ihre Webseite betroffen ist, können Sie leicht mit Hilfe des curl-Tools testen:
curl -I -H "Accept-Encoding: gzip" https://IHRE-WEBSEITE
Falls die Antwort kein Content-Encoding: gzip enthält, ist Ihre Webseite nicht betroffen.
Sollten Sie keinen Rechner zur Verfügung haben, auf dem curl installiert ist, können Sie sich auch einfach per SSH auf Ihrem Webserver anmelden und die Befehlszeile dort ausführen.
Als grobe Faustregel gilt: Falls Sie
.htaccess-Datei mit einer Zeile ähnlich
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/javascript text/css
existiert,
empfehlen wir Ihnen alle Typen zu entfernen, die möglicherweise dynamisch generiert werden. In der Regel ist das text/html.
Im Zweifelsfall konsultieren Sie Sicherheitsspezialisten oder entfernen Sie die Zeile komplett. Bitte haben Sie Verständnis, dass wir über diese allgemeinen Hinweise hinaus keine individuelle Sicherheitsberatung durchführen können.
Gestern gegen 14:40 Uhr gab es einen schweren UDP DDoS Angriff auf einen unserer Webserver (ws4). Dadurch kam es zu einer Überlastung der Internet-Uplinks in einem unserer Rechenzentren, die zu kurzzeitigen Störungen in der Erreichbarkeit vieler unserer Server und Dienste geführt hat. Der Angriff war so massiv, dass sogar die leistungsfähigen 10 GBit/s Internet-Uplinks des Rechenzentrums überlastet wurden.
Um diese Störung zu beheben mussten wir daher die primäre Webserver-IP (81.28.232.69) des angegriffenen Servers auf Ebene der Carrier-Backbones des Rechenzentrums sperren lassen. Dadurch waren sämtliche Domains, die auf diese IP verweisen, für mehrere Stunden nicht mehr erreichbar. Wir hatten leider keine andere Möglichkeit, als den betroffenen Server auf diese Weise komplett zu sperren, da dieser Angriff zu Netzwerküberlastungen im gesamten Rechenzentrum geführt hat. Die Sperrung wurde gegen 23:20 Uhr aufgehoben, als der Angriff vorüber war. Es kann bei einigen Internet Service Providern noch zu Problemen mit der Erreichbarkeit dieses Webservers kommen, die im Laufe dieses Tages behoben sein sollten.
Bei Störungen oder Wartungsarbeiten informieren wir Sie wie immer über unseren Twitter-Feed (auch als RSS abonnierbar), um auch unabhängig von Störungen im Rechenzentrum unsere Kunden zu erreichen.
Für die entstandenen Unannehmlichkeiten bitten wir vielmals um Entschuldigung!
Vom 1.-7. Juli findet die EuroPython 2013 Konferenz in Florenz, Italien statt. Zwei unserer Entwickler werden sich dort mit internationalen Python-Enthusiasten u.a. von Größen wie Google oder Spotify über die neuesten Entwicklungen und interessante Projekte austauschen. Am 2.7. wird ein Kollege überdies einen Vortrag über zuverlässiges Deployment von Python-Anwendungen halten.
Wer sich dem anschließen möchte ist herzlich eingeladen uns zu kontaktieren und sich auf der Konferenz zu verabreden oder abends bei einem guten Glas italienischem Wein den Tag ausklingen zu lassen.
Die EuroPython ist deswegen für uns interessant, weil wir sowohl für öffentliche Weboberflächen und Dienste, als auch für interne Tools und zur Automation überwiegend auf die Programmiersprache Python setzen. Einer unserer Mitarbeiter ist zudem Mitglied der Core-Entwicklung dieser Open Source Programmiersprache.