Schlagwort-Archive: Update

Neuer Plesk-Update-Bug – SICHERHEITSKRITISCH

Wir haben offensichtlich einen neuen Bug gefunden, der sich mit den letzten Updates eingeschlichen haben muß, denn auf allen Servern ist die Applikation-Firewall plötzlich ausgeschaltet und bei 1awww ist diese grundsätzlich eingeschaltet!

ACHTUNG: Alle Server unserer Kunden, werden wir schnell wieder auf den sicheren Stand bringen – wir sind schon dabei! Allen anderen Plesk-Server-Besitzer sollten mal ein Auge darauf werfen, ob bei ihnen auch die Plesk-Applikation-Firewall durch updates ausgeschaltet wurde?!

PHP5 wird abgeschaltet

Die Entwickler haben bereits vor zig Jahren bekannt gegeben, daß PHP5 ab 2017 nicht mehr gepflegt und gewartet wird! PHP 7 als Nachfolger von PHP5 hat eine verbesserte Sicherheitsstruktur und ist auch ein Vielfaches performanter, vergeudet also weniger Server-Resourcen und erzeugt dabei zusätzlich schnellere Seiten-Ausgaben. PHP 7 ist seit dem 3. Dezember 2015 auf dem Markt!

Der aktive Support für PHP 5 (letzte Version 5.6) wurde bereits zum 1. Januar 2017, also vor 2,5 Jahren eingestellt! Seit dem gab es nur noch bis zum 1. Januar 2019 Security-Fixe (also auf die letzte Version php 5.6). Seit dem 1. Januar 2019 gibt es keine Updates mehr, auch keine mehr auf bekannt werdende Sicherheitslöcher!

Es gibt nur noch wenige Kunden, die fahren Ihre Webapplikationen noch unter php 5.4 und bereits die Heise-Redaktion hat geschrieben, daß alle alten PHP-Versionen zu einem großen Sicherheitsrisiko geworden sind!

Aufgrund der Weiterentwicklung und dem Vortrieb unserer Hosting-Server, werden AB SOFORT alle php – Versionen < 5.6 auf php 7.1 upgedatet! Ab 01. Juli 2019 werden wir alle Webspaces, die dann noch php 5.6 einsetzen auf php 7.1 umstellen! Sie können jederzeit vorher bereits auf eine höhere Version in Plesk umstellen!
Bitte beachten Sie: Nach dem Umstellen auf eine höhere Version warten Sie mindestens 5 Minuten, bevor Sie Ihre Webseite testen! Im Problemfall, setzen Sie sich bitte direkt über unseren Support in Verbindung!

Joomla dringend updaten auf 3.8.13

Joomla 3.8.12 Sicherheitslücken VulnerabilitiesDas Sicherheitsteam von Joomla hat ein neues Update heraus gegeben, daß gleich 5 Vulnerabilities schließen soll!

Bis zur Version Joomla 3.8.12 können Hacker z.B. Schadcode ausführen über den internen Update-Bereich! Auch können sich Hacker problemlos bis Joomla 3.8.12 registrieren und die Freischaltung erwirken! Was für ein Wahnsinn, daß Joomla nach wie vor eines der unsichersten CMS-Systeme ist! Die nachfolgenden CVEs wurden dann auch noch als Low eingestuft, aber nur wenige Stunden nach Veröffentlichung, konnten wir auf einem Kunden-Webspace mit Joomla 3.8.12 ganz massive Attacken feststellen, die sogar zu einer CPU-Dauer-Belastung geführt haben!

Wer keinen Wartungsvertrag hat, sollte dringend Joomla auf den neuesten Stand updaten! Bitte denken Sie auch daran, Plugins und Themes etc. mit abzudaten!

Wer sich von Joomla trennen möchte, den empfehlen wir den
Prima-Website-Builder

Wir stellen bereits diverse Projekte auf den PWB um, da dieser uns einwandfreie Seiten erzeugt, die nicht mehr gehackt werden können und wo wir auch keine ständigen Updates durchführen müssen! Selbst große Datenbank-Projekte, wie Europaladies.com können umgestellt werden! Bei Fragen, setzen Sie sich bitte mit uns in Verbindung!

Hier die CVE-Nummern und eine Kurzinfo zu den Vulnerabilities:

CVE-2018-17859 Inadequate checks in com_contact could allowed mail submission in disabled forms

CVE-2018-17856 Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution.

CVE-2018-17857 Inadequate checks on the tags search fields can lead to an access level violation.

CVE-2018-17855 In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself.

CVE-2018-17858 Added additional CSRF hardening in com_installer actions in the backend.

Joomla 3.8.8 wurde heraus gegeben – bitte dringend Updates einspielen

Joomla 3.8.7 SicherheitslückenUm dringende Sicherheitslücken, die bis Joomla 3.8.7 bestehen, sollten Sie dringend die neuesten Updates einspielen!

Auch sind dringend die installierten Themes und Plugins zu installieren und danach sollte man unbedingt auch den Cache löschen!

Wer sein Joomla nicht regelmäßig updatet, handelt grob fahrlässig und muß damit rechnen, daß Hacker in den Webspace eindringen Joomla 3.8.8 wurde heraus gegeben – bitte dringend Updates einspielen weiterlesen

WordPress 4.9 – diverse Verbesserungen

Wordpress Logo - auf WordPress 4.9 updatenWordPress 4.9 mit diversen Verbesserungen seit 16.11.2017 verfügbar! Wir empfehlen den Update mit einzuspielen!

Wesentliche Verbesserungen sollen sein Code-Fehlerprüfung, verbesserter Workflow, Anpassungen des Website-Designs, Vorschau auf Links und eine Design-Sperre.

Damit Designer nicht die Arbeit anderer Designer überschreiben können, eignet sich insbesondere diese Design-Sperrung! Somit wird die Gruppenarbeit in WordPress wesentlich optimiert!

Optimal sind auch die Fehlerprüfungen des Syntax von CSS und HTML! Entwickler kommen so schneller auf die Spur, wo Probleme her rühren und können diese einfacher beheben!

Auch wurde ein neues Gallerie-Widget hinzu gefügt. So kann man zukünftig eine komplette Gallerie hinzu fügen!

WordPress MySQL Injection – auf Version 4.8.3 dringend updaten

Wordpress MySQL InjectionMit dem Update auf WordPress 4.8.3 schließt das Entwickler-Team von WordPress diverse Hintertüren (Vulnerabilities) insbesondere wegen WordPress MySQL Injection!

 

Insgesamt sind 11 CVE-Listungen (WordPress Vulnerabilities) vorhanden, für Versionenen vor 4.8.3!

Das Update wurde bereits am 31.10.2017 heraus gegeben! WordPress MySQL Injection – auf Version 4.8.3 dringend updaten weiterlesen

VORSICHT: Windows 10 – Update … und nichts geht mehr

Virus / Ransomware - Daten verschlüsseltSie sollten dringend Ihren Windows 10 – Computer sichern und jederzeit damit rechnen, daß ein Update die Benutzung Ihrer Daten vernichten kann!

Microsoft behauptet hohe Sicherheit zu liefern und zerstört mit einem Update die Nutzbarkeit Ihres Computers. Wiederherstellung versagt kläglich mit immer anderen Fehlern und wenn Sie dann die Wiederherstellung durch Image-Rückkopierung verwenden, werden Partitionen gelöscht, die gar nichts mit Windows als solches zu tun VORSICHT: Windows 10 – Update … und nichts geht mehr weiterlesen

Joomla 3.8.1 veröffentlicht – Kunden sollten updaten!

Joomla 3.8.1Joomla 3.8.1 beseitigt diverse Bugs, die in 3.8.0 enthalten waren und die auch zum Teil Updates unmöglich gemacht haben!

Sie sollten also spätestens jetzt Joomla auf Version 3.8.1 updaten!

Wir empfehlen jedoch vor jedem Joomla Update, ein Backup durch zu führen. Funktioniert dann der Update nicht, können Sie das Backup wieder einspielen und dann alternative Methoden verwenden, um das Update einzuspielen!

Update auf Joomla 3.8.0 unbedingt durchführen

Joomla 3.8.0 Update durchführenWir haben bereits am 20.09.2017 einen Artikel geschrieben, weil Joomla am 19.09.2017 einen neuen Update auf die Version Joomla 3.8.0 heraus gegeben hat! Erst nach Bekanntgabe des neuen Updates wurde mit einer Verzögerung bekannt gegeben, daß alle Vorversion und zwar ab Version 1.x bis 3.7.5 einschließlich über eine LDAP-Sicherheitslücke verfügen, über die Hacker in Joomla einbrechen können! Auch im CVE wurde der Vulnerability erst am 20.09.2019, nachdem wir unseren Blog-Artikel verfasst haben, bekannt gegeben!

Obwohl der Update-Prozess unter Umständen Ihre Joomla-Installation komplett zerschießen kann, müssen Sie aber nun zwangsläufig unbedingt die Updates installieren!

Sie sollten vorher unbedingt ein Backup über Plesk durchführen, bevor Sie den Update-Prozess starten! Wir haben verschiedene Lösungsmöglichkeiten gefunden, die Updates für alle Kunden durch zu führen, die laufende Wartungsaufträge haben. Lediglich bei einem Webspace kann der Update auch mit Reparaturen nicht durchgeführt werden, weil hier noch Plugins aus dem Jahre 2013 laufen. Evtl. müssen hier harte manuelle Anpassungen erfolgen, um die alten Plugins ggf. umzustellen, da es offensichtlich für diese keine Updates mehr gibt!

Wie schon geschrieben, ist Joomla ein extrem gefährliches Produkt, bei dem seit ewigen Jahren ständige Sicherheitslücken gefunden werden! Wir können Kunden, die sich eine neue Website programmieren wollen oder programmieren lassen wollen, Joomla NICHT mehr empfehlen! Wir können ersatzweise den Prima-Website-Builder empfehlen!

VORSICHT vor dem Update von Joomla 3.8.0 !!! Update zerschießt Installation

Auf mehreren Webspace wird nach dem Update von Joomla 3.7.5 auf Joomla 3.8.0 die Installation mit abenteuerlichen Fehlern zerschossen, wie:

Fatal error: Cannot declare class JInput, because the name is already in use in /homepages/43/d40530963/htdocs/v3/libraries/fof/input/jinput/input.php on line 39

Auch in diversen Foren finden sich dazu Einträge von anderen Anwendern, wie z.B. unter:

https://forum.joomla.de/index.php/Thread/4381-Update-fehlgeschlagen/

Bevor Sie den Update einspielen, sollten Sie unbedingt über den Backup-Manager in Plesk ein vollständiges (nicht inkrementelles) Backup durchführen und erst danach das Update installieren!

Wir hatten so etwas bereits in Joomla 3.2:

https://blog.1awww.com/2013/11/13/dringende-warnung-vor-update-auf-joomla-3-2/