Kategorie: Technik

Veröffentlicht am

Bash-Sicherheitslücke “ShellShock”

Am 24.09. wurde eine Sicherheitslücke in der auch auf unseren Webservern verwendeten Unix-Shell “Bash” bekannt, die es Angreifern per HTTP ermöglicht, über CGI-Scripte (PHP, Python, Perl) mit Shell-Aufrufen eigene Befehle auf dem Webserver auszuführen (CVE-2014-6271). Für diese Sicherheitslücke waren wenige Stunden nach Bekanntwerden Patches verfügbar, die wir selbstverständlich sofort auf allen Servern eingespielt haben.

In den folgenden Tagen wurden weitere Probleme in Bash bekannt, die jedoch weniger schwerwiegende Angriffsmöglichkeiten auf unseren Servern geboten haben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 CVE-2014-6278). Auch für diese Sicherheitslücken haben wir kurz nach Bekanntwerden Patches installiert.

In den Webserver-Logs finden sich keine Hinweise, dass diese Sicherheitslücken in der Zeit zwischen Bekanntwerden bis zum Einspielen der Updates von Angreifern ausgenutzt wurden.

Veröffentlicht am

Mögliches Sicherheitsproblem auf den Webservern: FollowSymLinks

Wir haben aufgrund möglicher Sicherheitsprobleme auf den Webservern eine Änderung an der Server-Konfiguration vornehmen müssen. Die Konfigurationsdirektive “FollowSymLinks” kann ab sofort nicht mehr in .htaccess-Dateien benutzt werden. Falls Sie diese Option nutzen, wird für Ihre Webseite jetzt eine Fehlermeldung angezeigt.

Bitte entfernen Sie diese Option in allen .htaccess-Dateien, oder ersetzen sie durch “SymLinksIfOwnerMatch”. Wir nehmen diese Änderung im Laufe des Tages automatisch für alle bestehenden .htaccess-Dateien vor.

Update: Die Option “All” kann ebenso nicht mehr in .htaccess-Dateien benutzt werden, da sie  “FollowSymLinks” impliziert.

Veröffentlicht am

OpenSSL-Bug

Unter dem Namen “Heartbleed” ist in der Nacht von Montag zu Dienstag dieser Woche ein Fehler in der freien Software “OpenSSL” bekannt geworden, der sehr weitreichende Folgen für alle Internet-Nutzer hat. Heise Online schreibt dazu:

Die weit verbreitete Krypto-Bibliothek OpenSSL enthielt einen Programmierfehler, der es erlaubte, von betroffenen Systemen geheime Schlüssel, Passwörter und andere Daten auszulesen. Krypto-Guru Bruce Schneier stuft den Fehler als “Katastrophe” ein: “Auf einer Skala von 0 bis 10 ist das eine 11”.

Betroffen sind zahlreiche Dienste im Internet, die diese Software einsetzen – von Facebook, über Dropbox bis zu Yahoo und Google. Aktuelle Informationen und eine umfangreiche Erklärung des Fehlers finden Sie unter http://www.heise.de/thema/Heartbleed. Eine aktuelle Liste großer betroffener Dienste finden Sie hier.

Wie sind Variomedia-Kunden betroffen?

Es gibt zwei Ebenen, auf denen SSL und der Heartbleed-Bug bei uns eine Rolle spielen:

  • Kunden, die ein eigenes SSL-Zertifikat für die verschlüsselte Datenübertragung (z.B. für ihrem Online-Shop) nutzen sind bis auf sehr wenige Ausnahmen (<1%) nicht betroffen, da wir hier eine OpenSSL-Version einsetzen, die den Fehler nicht enthält.
  • Betroffen sind allerdings alle Nutzer unserer eigenen Dienste, wie des Webmails, des Kundenmenüs, DynDNS und aller weiteren Dienste, die unter variomedia.de und securehost.de angeboten werden.

Es gibt im Moment keine Hinweise darauf, dass der OpenSSL-Fehler ausgenutzt wurde und Daten unserer Kunden missbraucht wurden – eine endgültige Sicherheit gibt es diesbezüglich jedoch nicht. Wir haben wenige Minuten nach Bekanntwerden des Bugs ein Update auf allen Servern eingespielt, das den Fehler behebt. In den letzten Tagen wurden außerdem alle SSL-Zertifikate ausgetauscht, deren Schlüssel potentiell kompromittiert gewesen sein könnten.

Was ist zu tun?

Wir empfehlen dennoch allen Kunden, alle Passwörter zu ändern, d.h. insbesondere Passwörter für:

  • Kundenmenü
  • E-Mail-Postfächer

Nicht unmittelbar betroffen sind folgende Dienste, bei denen wir dennoch die Änderung von Passwörtern empfehlen:

  • FTP/SFTP/SSH
  • MySQL (Bitte beachten Sie, dass bei einer Änderung des MySQL-Passworts auch Änderungen in Ihren Scripten erforderlich sind.)
  • DynDNS (Bitte ändern Sie die Zugangsdaten auch in Ihren Routern/DynDNS-Scripten.)

Es ist eine gute Gelegenheit, wirklich sichere Passwörter zu vergeben. Hilfreiche Tipps dazu finden Sie auf den Seiten des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Für Fragen stehen Ihnen wir Ihnen gerne zur Verfügung!

Veröffentlicht am

Sicherheitslücke in Joomla-Extension “eXtplorer”

Es gibt aktuell eine schwere Sicherheitslücke in der Joomla Dateimanager Extension “eXtplorer”, die es Angreifern ermöglicht, beliebige Dateien auf Webserver hochzuladen. Diese Sicherheitslücke wurde in den vergangenen Tagen bereits mehrfach ausgenutzt, um Spam über unsere Webserver zu versenden. Falls Sie diese Extension in einer älteren Version als 2.1.5 vom 19.12.2013 benutzen sollten Sie dringend auf die aktuelle Version updaten.

Bitte prüfen Sie auch stets, ob für Joomla selbst und alle installierten Plugins und Erweiterungen neue Versionen verfügbar sind.

Veröffentlicht am

Variomedia auf der RuPy 2013

RuPy 2013Vom 10.-13. Oktober zieht es unsere Entwickler nach Budapest, Ungarn, zur diesjährigen RuPy Conference. Neben vielen Fachvorträgen zu Python und JavaScript werden wir uns mit anderen Entwicklern über Projekte und Best-Practices austauschen.

Wir würden uns freuen Sie auf der Konferenz persönlich kennenzulernen, bei Interesse kontaktieren Sie uns doch einfach spontan per Twitter oder Facebook.

Veröffentlicht am

HTTPS und BREACH

Dieser Artikel betrifft Sie nur, falls Sie Ihre Webseite per HTTPS betreiben.

Auf der aktuellen Black Hat-Konferenz wurde ein neuer Angriff gegen SSL/TLS vorgestellt, von dem unsere Kunden betroffen sein könnten: BREACH. Bei dem Angriff wird – vereinfacht gesagt – ein Zusammenspiel von HTTP-Komprimierung und SSL/TLS-Verschlüsselung ausgenutzt, um die Verschlüsselung auszuhebeln.

Der beste Schutz besteht darin, die HTTP-Komprimierung auszuschalten. Dies ist auch die Standardeinstellung auf unseren Servern. Sie kann jedoch per .htaccess manuell aktiviert werden und es ist nicht auszuschließen, dass dies bei Ihnen unbemerkt geschah, sofern Sie Drittsoftware installiert haben.

Test

Ob Ihre Webseite betroffen ist, können Sie leicht mit Hilfe des curl-Tools testen:

curl -I -H "Accept-Encoding: gzip" https://IHRE-WEBSEITE

Falls die Antwort kein Content-Encoding: gzip enthält, ist Ihre Webseite nicht betroffen.

Sollten Sie keinen Rechner zur Verfügung haben, auf dem curl installiert ist, können Sie sich auch einfach per SSH auf Ihrem Webserver anmelden und die Befehlszeile dort ausführen.

Schutz

Als grobe Faustregel gilt: Falls Sie

  1. eine Webseite mit HTTPS betreiben,
  2. diese Seite dynamisch im weitesten Sinn ist (Benutzereingaben verarbeitet etc.)
  3. und eine .htaccess-Datei mit einer Zeile ähnlich

    AddOutputFilterByType DEFLATE text/html text/plain text/xml application/javascript text/css

    existiert,

empfehlen wir Ihnen alle Typen zu entfernen, die möglicherweise dynamisch generiert werden. In der Regel ist das text/html.

Im Zweifelsfall konsultieren Sie Sicherheitsspezialisten oder entfernen Sie die Zeile komplett. Bitte haben Sie Verständnis, dass wir über diese allgemeinen Hinweise hinaus keine individuelle Sicherheitsberatung durchführen können.

Veröffentlicht am

DDoS-Angriff auf einen unserer Webserver (ws4) am 02.07.2013

Gestern gegen 14:40 Uhr gab es einen schweren UDP DDoS Angriff auf einen unserer Webserver (ws4). Dadurch kam es zu einer Überlastung der Internet-Uplinks in einem unserer Rechenzentren, die zu kurzzeitigen Störungen in der Erreichbarkeit vieler unserer Server und Dienste geführt hat. Der Angriff war so massiv, dass sogar die leistungsfähigen 10 GBit/s Internet-Uplinks des Rechenzentrums überlastet wurden.

Um diese Störung zu beheben mussten wir daher die primäre Webserver-IP (81.28.232.69) des angegriffenen Servers auf Ebene der Carrier-Backbones des Rechenzentrums sperren lassen. Dadurch waren sämtliche Domains, die auf diese IP verweisen, für mehrere Stunden nicht mehr erreichbar. Wir hatten leider keine andere Möglichkeit, als den betroffenen Server auf diese Weise komplett zu sperren, da dieser Angriff zu Netzwerküberlastungen im gesamten Rechenzentrum geführt hat. Die Sperrung wurde gegen 23:20 Uhr aufgehoben, als der Angriff vorüber war. Es kann bei einigen Internet Service Providern noch zu Problemen mit der Erreichbarkeit dieses Webservers kommen, die im Laufe dieses Tages behoben sein sollten.

Bei Störungen oder Wartungsarbeiten informieren wir Sie wie immer über unseren Twitter-Feed (auch als RSS abonnierbar), um auch unabhängig von Störungen im Rechenzentrum unsere Kunden zu erreichen.

Für die entstandenen Unannehmlichkeiten bitten wir vielmals um Entschuldigung!

Veröffentlicht am

Variomedia auf der EuroPython 2013

ep_logodate2_largeVom 1.-7. Juli findet die EuroPython 2013 Konferenz in Florenz, Italien statt. Zwei unserer Entwickler werden sich dort mit internationalen Python-Enthusiasten u.a. von Größen wie Google oder Spotify über die neuesten Entwicklungen und interessante Projekte austauschen. Am 2.7. wird ein Kollege überdies einen Vortrag über zuverlässiges Deployment von Python-Anwendungen halten.

Wer sich dem anschließen möchte ist herzlich eingeladen uns zu kontaktieren und sich auf der Konferenz zu verabreden oder abends bei einem guten Glas italienischem Wein den Tag ausklingen zu lassen.

Die EuroPython ist deswegen für uns interessant, weil wir sowohl für öffentliche Weboberflächen und Dienste, als auch für interne Tools und zur Automation überwiegend auf die Programmiersprache Python setzen. Einer unserer Mitarbeiter ist zudem Mitglied der Core-Entwicklung dieser Open Source Programmiersprache.

Veröffentlicht am

PHP 5.5 erschienen

PHP-logoErst kurz vor dem Wochenende von den Entwicklern freigegeben – nach dem Wochenende schon bei uns nutzbar!

Da wir PHP 5.4 übersprungen haben, ist dies die erste Version, in der das aus den Anfangszeiten von PHP bekannte Feature register_globals nicht mehr nutzbar ist, die try/catch Exception-Blöcke haben nun noch finally dazubekommen und außerdem ist bcrypt für das Passwort-Hashing nutzbar.

Unsere übrigen PHP-Versionen 4.4, 5.2 und 5.3 haben wir auch gleich auf den neuesten Stand gebracht und etwaig aktualisierte ionCube-Loader und ZendOptimizer/ZendGuardLoader eingespielt.

Weitere Infos:

Veröffentlicht am

Mobile Themes im Webmail

Ab sofort stehen im Webmail zwei neue Benutzeroberflächen (“Themes”) zur Verfügung, die speziell für mobile Endgeräte (Smartphones, Tablets) gedacht sind. Die Darstellung des Standardthemes “larry” ist für kleine Displays nicht gut geeignet, da die Breite der Seite nicht flexibel ist. Mit den beiden neuen Themes “iClassic_mobile” und “alpha_mobile” ist dieses Problem behoben und das Lesen und Schreiben von E-Mails im Webmail funktioniert deutlich besser.

Sie erreichen die Theme-Auswahl über den Menüpunkt “Einstellungen” (oben rechts) und den Bereich “Benutzeroberfläche“. Die Themes sind in der Liste der “Oberflächendesigns” auswählbar.

Alternativ zur Nutzung des Webmails besteht weiterhin die Möglichkeit, ein Postfach direkt in der E-Mail-Anwendung des Smartphones einzurichten. Die dafür notwendigen Einstellungen finden Sie hier.