Kritische Lücke in TYPO3

Betroffene Versionen: 4.5.0 bis 4.5.8, 4.6.0 und 4.6.1 (+ Dev. Releases der 4.7 Branch).

Voraussetzung:
1) register_globals, allow_url_include und allow_url_fopen müssen aktiviert sein
2) Die Suhosin PHP extension ist aktiviert und URL-Schemen in der Konfigurationsvariable suhosin.executor.include.whitelist gesetzt wurden

Lösungsvorschläge:

  • Update auf die TYPO3 Version 4.5.9 oder 4.6.2
  • Mindestens eine PHP Variable auf “off” setzen: register_globals, allow_url_include and allow_url_fopen
  • Patch runterladen und installieren (Informationen)
    Patch runterladen
  • mod_security Regel setzen: SecRule ARGS:BACK_PATH “^(https?|ftp)” “deny”


https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/

AdBlock Plus 2.0 wird zum “AdBlock + Werbe-Funktion”

Kürzlich ist die populäre Browsererweiterung AdBlock Plus in Version 2.0 erschienen. Nennenswerte Änderung ist eine zusätzliche Filterfunktion zum Durchlassen von “nicht-nervender” Werbung. “Wenn diese kostenfreien Angebote wegfallen, würde das Web davon nicht besser.” erklärt ein Projektmitarbeiter von AdBlock Plus und begründet somit den Einzug des Filters; auch hatten zahlreiche Werbende immer wieder über sinkende Werbeeinnahmen geklagt.

Es scheint als könne man diesen neuen Filter (der wird übrigens beim Update automatisch aktiviert) allerdings deaktivieren und somit den Adblocker auch so einsetzen wie gewünscht: als Werbeblocker!

Es ist auch beunruhigend zu erfahren, dass die Betreiber nun eine GmbH gegründet haben, um wohlmöglich an der “durchgelassenen Werbung” zu verdienen.

Freedom of speech made in USA

Investment-Firma (Obsidian Financial Group) gegen Einzelperson (Crystal Cox); klagt auf 10 Millionen Dollar Entschädigung wegen Verleumdung, die Firma und ihre Mitarbeiter seien in dem Blog falsch und zu unrecht als Diebe und Betrüger bezeichnet worden.

Das zuständige US-Gericht verweigerte die Anwendung von üblichen Paragraphen zum Schutz gegen Verleumdungsklagen (Media-Shield Law) mit der Begründung die angeklagte Bloggerin sei keine Journalistin. Auch sei der Bericht nicht recherchiert genug und enthielte Anschuldigungen ohne Beweismaterial.

Großzügig und unbefangen hat das Gericht die Bloggerin doch “nur” auf 2,5 Millionen Dollar verklagt. Sie kündigte Revision an.

Der inkriminierte Blog: http://www.crystalcox.com

CentOS 6.1 released

Der bekannte und geschätzte Klon von Red Hat Enterprise Linux (RHEL) ist gestern in Version 6.1 erschienen.

In diesem Release ist u. a. eine geupdatete yum Paketverwaltung enthalten (http://illiterat.livejournal.com/8221.html) und einige Bugfixes eingearbeitet worden. RHEL 6.2 ist zudem kürzlich erschienen, sodass für die Fertigstellung von CentOS 6.2 ein “Continuous Release” Repository genutzt wird, quasi als Live Übergang zu der nächsten Version.

Allgemeine Info zu CentOS: der größte Unterschied zwischen “Original” (RHEL) und “Kopie” ist das Entfernen der Logos und anderen urhebergeschützten Artworks. Die Pakete sind sonst 100% kompatibel.

Release Notes CentOS 6.1

TYPO3 veröffentlicht überarbeitete Security Guideline

TYPO3 ist nicht nur für seinen Funktionsumfang bekannt, sondern auch dafür, dass immer wieder hoffnungslos veraltete Systeme gehackt werden.. nun soll eine neu überarbeitete Guideline Abhilfe schaffen.

Das Dokument unterscheidet die verschiedenen Rollen der Nutzer und gliedert sich dementsprechend in Anweisungen für den System Administratoren, den TYPO3 Integratoren und den Editoren.

Eine allgemein gültige Regel ist: nicht benutzte Extensions zu deinstallieren und die Anwendung stets up-to-date zu halten, insbesondere nach (kritischen) Sicherheitsupdates.

Alles zu TYPO3 finden Sie hier.
Link zum TYPO3 Security Guide

xxx-TLD nun weltweit für jedermann erhältlich

Seit Dienstag, den 6. Dezember ist die Registrierung von .xxx Domains offiziell für alle eröffnet. Zuvor durften nur Firmen aus der Sexindustrie ihre Domainechte gelten lassen.

In Deutschland gibt es einige Registrare, die nun .xxx-Domains anbieten: United Domains, InternetX (beide United Internet Gruppe), Key-Systems, … um nur die größten Anbieter zu nennen.

Ich möchte hier keine neue Debatte zum Thema ICANN und TLD-Politik anfangen – aber ganz ehrlich, ich halte nichts davon!

ICM Registry

SAP möchte Cloud-Software Anbieter SuccessFactors für 2,4 Milliarden Euro kaufen

Für 3,4 Milliarden Dollar (2,4 Milliarden Euro) soll die Firma US-Firma SuccessFactors den Besitzer wechseln. Die Zustimmung der Eigentümer sowie Kartellbehörden fehlt noch. Analysten bewerten den Kaufpreis als hoch – SuccessFactors hat in den letzten fünf Jahren 200 Millionen Dollar Verlust erwirtschaftet. SuccessFactors ist ein Cloud Anbieter aus Kalifornien für Back-Office-Lösungen, vertreten in zahlreichen Ländern weltweit.

Mehr dazu:
http://www.heise.de/newsticker/meldung/SAP-zahlt-3-4-Milliarden-Dollar-fuer-Anbieter-von-Cloud-Software-1389533.html
http://www.faz.net/aktuell/wirtschaft/uebernahme-von-successfactors-sap-macht-milliarden-angebot-fuer-cloud-spezialisten-11550439.html

HostEurope bietet Website Builder powered by BaseKit

Seit Ende November bietet HostEurope als erster deutscher Hoster sein eigenes Homepage-CMS Angebot auf Basis von BaseKit. Nach 123-reg und Webfusion (UK) hat nun auch HostEurope den Website Builder in sein Produktportfolio aufgenommen. Nach eigenen Angaben (FAQ) werden die mit BaseKit erstellten Seiten allerdings auf Amazon S3 gehostet. BaseKit ist ein gut und einfach zu bedienendes CMS mit dem sich schnell hübsche Homepages bauen lassen.