von
Dietmar Leher
Veröffentlicht in
Allgemein
Immer wieder kommt es vor, dass eine neue Versionen einer Software erscheint und man vor der Frage steht: Soll ich nun das Update vornehmen oder nicht?
Im Bereich des Webhostings und aller Software, die unmittelbar mit dem Internet in Verbindung steht, sollte diese Frage eigentlich immer mit einem klaren JA beantwortet werden, um den Schutz der eigenen Daten möglichst hoch zu halten.
Natürlich ist dabei abzuwägen, ob es sich um eine kostenpflichtige Aktualisierung handelt, die alte Version vorerst noch weiter Updates erhält und welcher Aufwand mit einer solchen Aktualisierung verbunden ist.
Für den Bereich des Webhostings gibt es regelmäßig neue Versionen eingesetzter Komponenten für den Webserver, der Datenbanken oder der PHP-Versionen. Als Kunde von domainFACTORY sind alle Tarife (mit Ausnahme von JiffyBox) “gemanaged”, so dass die Aktualisierungen der grundlegenden Komponenten der Server in das Aufgabengebiet unserer technischen Abteilung fällt.
Aber auch für die Software, mit der ein Shop, Blog oder die Webseite erstellt wurde, geben die Hersteller mehr oder weniger regelmäßig neue Versionen heraus oder stellen Patche für Sicherheitslücken zur Verfügung.
Gerade das Schließen von aufgetretenen Lücken sollte zeitnah erfolgen und wir möchten nachstehend aufzeigen, welche Bereiche eine regelmäßige Prüfung und Aktualisierung betreffen sollte.
1) Eingesetzte Software / OpenSource-Applikationen
Haben Sie Software wie beispielsweise eine Blogsoftware installiert, sei es manuell oder über das Kundenmenü, so ist es unabdingbar, dass diese regelmäßig aktualisiert wird. Es besteht bei veralteter Software eine reale Gefahr des Missbrauchs durch Dritte. Neben dem vergleichsweise harmlosen Austausch der Startseite durch einen ‘hacked by …’ Hinweis, können unter Umständen auch Daten ausgespäht oder die Präsenz zur weiteren Verbreitung von Schadcode oder Spammails verwendet werden.
Für die meiste Websoftware gibt es eine Newsletter- oder Mailingliste die man abonnieren kann und dann automatisch per E-Mail auf eine neue Version hingewiesen wird. Auch im Backend wird meist angezeigt, dass eine aktualisierte Version zur Verfügung steht und nun installiert werden kann. Eine Kontrolle und Login in das jeweilige Menü sollten daher, auch bei Seiten die wenige Änderungen erfahren, zur Pflicht werden.
2) Eigene Skripte und Anpassungen
Wurden eigene Skripte geschrieben oder Anpassungen an Software vorgenommen, sollten auch diese regelmäßig geprüft werden. Die wichtigsten Punkte sind hierbei:
- die Funktionskontrolle auf z.B. aktuellerer PHP- und/oder MySQL-Version
- gibt es neuere Versionen von Komponenten die evtl. selbst kompiliert und per php.ini eingebunden wurden
- sind Anpassungen zwischenzeitlich aufgrund geänderter Anforderungen obsolet oder können deren Aufgaben von anderen Stellen übernommen werden (Aufräumen des Codes, permanentes Refactoring)
3) Installationen durch Dritte
Auch wir nehmen hin und wieder über einen sog. Auftrag für zusätzliche Leistungen Installationen für Kunden vor. Eine solche Installation durch erfahrene Mitarbeiter ist zwar für den Kunden mit sehr wenig Aufwand und vergleichsweise nur geringen Kosten verbunden, es ist aber zu beachten, dass es mit der Einrichtung nicht getan ist. Die Installation erfolgt im Regelfall mit der vom Kunden angegebenen Version und erscheinen danach neuere Versionen, so müssen diese natürlich selbsttätig ebenfalls wieder installiert werden.
Auch von Drittanbietern durchgeführte Installationen sollten aktuell gehalten werden.
Gerade im Bereich der OpenSource-Applikationen, wie Sie beispielsweise über das Kundenmenü installierbar sind, gibt es zahlreiche Schritt-für-Schritt Anleitungen, eine große Community und selbstverständlich steht Ihnen auch unser Support bei Fragen oder Problemen zum Updatevorgang beratend zur Seite.
Viele externe Dienstleister bieten zudem auch Wartungsverträge oder individuelle Pauschalen für Updates von Content-Management-Systemen, Shops etc. an. Anhaltspunkte vor dem Abschluss können sein:
- Sofortiges Einspielen von Security-Updates nach Erscheinen
- Prüfen der Erweiterungen auf Kompatibilät
- Bugfixe/Feature-Updates innerhalb einer Woche nach Erscheinen
4) Softwarekomponenten des Servers
Als Kunde von domainFACTORY sind alle Tarife (mit Ausnahme von JiffyBox) “gemanaged”, so dass – wie eingangs schon erwähnt – die Aktualisierungen der grundlegenden Komponenten der Server in unser Aufgabengebiet fällt.
Zur Gewährleistung einer bestmöglichen Systemsicherheit und Performance werden daher unsere Systeme fortlaufenden Aktualisierungen unterzogen (Update der PHP- und MySQL-Versionen, Webmailer etc.). Von Zeit zu Zeit ist es darüber hinaus auch erforderlich, umfangreichere Updates durchzuführen. Insbesondere dann, wenn viele einzelne Komponenten betroffen sind, die aufeinander aufbauen bzw. voneinander abhängen.
Über anstehende Arbeiten informieren wir dann ausführlich im Forum, Blog und im Falle eines großen Image-Updates wie zuletzt Ende April auch einige Wochen vorher per Newsletter. Alle Ankündigungen sind mit dem Hinweis versehen, dass es bei selbst kompilierten Anwendungen unter Umständen zu Problemen kommen könnte und wir eine manuelle Prüfung empfehlen.
Leider kommt es regelmäßig dazu, dass unsere Ankündigungen, trotz der Vorlaufzeit überlesen werden und plötzlich das eine oder andere Skript Probleme verursacht. Dies ist ein weitere Grund, Updates von installierter Software vorzunehmen um dauerhaft neben einer bestmöglichen Sicherheit auch die Verfügbarkeit Ihrer Daten und Projekte zu gewährleisten und einer “plötzlichen” Veränderung vorzubeugen.
Wie unter anderem im “heise Newsticker” nachzulesen ist, besteht derzeit eine PHP-Sicherheitslücke, durch die unter bestimmten Umständen der Quellcode von PHP-Skripten abgerufen und zudem fremder Code “eingeschleust” werden kann.
Unsere Technikabteilung weist in diesem Zusammenhang darauf hin, dass der oben genannte Fehler in PHP “nur” solche Kunden von uns betrifft, die expliziert über eine .htacess-Datei einen sogenannten “AddType” gesetzt haben. Dies kann z.B. dann der Fall sein, wenn in einem bestimmten Unterordner eine andere als die im Kundenmenü für diese Domain konfigurierte PHP-Version zur Ausführung kommen soll.
Wer einen solchen “AddType” gesetzt hat, ist derzeit in jeder PHP-Version gefährdet. Wir raten in diesen Fällen dazu, solche Requests per .htacess-Einstellung auszufiltern, bis ein Sicherheitspatch durch das PHP-Team bereitgestellt und von uns eingespielt worden ist:
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
Selbstverständlich sind wir aktiv an dem Thema dran und werden ein Update aller PHP-Versionen so schnell wie möglich vornehmen. Bei Rückfragen oder falls Sie Unterstützung benötigen, helfen unser Kundenservice und unsere Technik-Abteilung gerne weiter. Beide sind direkt über das Kundenmenü (Link Kundenservice) in Form einer dann authentifizierten Anfrage kontaktierbar.
[Update 09:10 Uhr: Wir gehen derzeit - unter Vorbehalt und vor weiteren erforderlichen Tests - davon aus, die Patches bis ca. 12/13 Uhr auf allen Server eingespielt zu haben. Dies kann sich jedoch durch möglicherweise auftretende Probleme (Kundenseiten laufen nicht mehr usw.) verzögern.]
[Update 11:35 Uhr: Nach derzeitigem Stand behebt der aktuell veröffentlichte offizielle Patch das Problem nicht vollständig. Aus diesem Grund werden wir selbst eine Sicherheitsmaßnahme zum Schutz der Kundenpräsenzen aktivieren, um das Angriffsrisiko ergänzend zu dem - wie gesagt nicht vollständig wirksamen - Patch weiter reduzieren zu können. Hierzu verteilen wir derzeit ein Update auf unseren Systemen, der in den nächsten Minuten nach und nach auf allen Webservern aktiviert werden wird. Sollten Sie danach auf Ihren Webseiten überraschende 403-Fehlermeldungen angezeigt bekommen, geben Sie bitte unserem Kundenservice Bescheid.]
In der bekannten und bliebten Webanwendung “Horde” gibt es in den Versionen 3.3.12 (Webmail) und 1.2.10 (Groupware) eine durch Angreifer platzierte “Backdoor”. Details z.B. heise.de. Auch wir nutzen Horde für eines unsere beiden Webmail-Angebote, welches für unsere Kunden je nach Bedarf und persönlicher Präferenz die beiden Optionen “Horde” und “Roundcube” bereitstellt.
Daher möchten wir hiermit Entwarnung geben: Die von uns unter webmail.df.eu verwendete Horde-Version ist nicht verwundbar, da wir diese nicht über den betroffenen FTP-Server sondern von dem nicht infiltrierten GIT-Server bezogen haben und zudem eine andere Version nutzen. Bei individuell von Kunden vorgenommenen Installationen sollte hingegen unbedingt überprüft werden, ob die Quelldateien zwischen November 2011 und dem 7. Februar 2012 von dem offiziellen FTP-Server heruntergeladen worden und somit “infiziert” sind.
Tipp: Zwar keinen Schutz vor Sicherheitslücken in Anwendungen aber erhöhte Sicherheit für andere Daten auf dem Webspace bietet der von uns angebotene Verzeichnisschutz. Damit wird ein Skript und somit auch ein möglicher Angreifer innerhalb eines bestimmten Ordners “eingesperrt” und kann nicht einfach auf z.B. in anderen Verzeichnisbäumen gespeicherte Daten und Anwendungen zugreifen. Details hierzu finden Sie in unseren FAQ: http://www.df.eu/de/service/df-faq/technische-faq/quotas/
Heise online berichtete gestern über eine Sicherheitslücke im GNU-C-Loader, durch die Angreifer Root-Rechte erlangen können. Nach einigen bereits noch am gestrigen Dienstag durchgeführten Tests können wir mitteilen, dass unsere Kundenwebserver von diesem Sicherheitsrisiko nicht betroffen sind. Konkret verwenden wir ein Kernel-Modul, durch dass sich die vom Exploit benötigten “Hardlinks” nicht anlegen lassen.
Selbstverständlich verfolgen wir das Thema weiter und werden eine – hoffentlich nun sehr schnell erscheinende – neue, sichere glibc-Version beim anstehenden Imageupdate noch zusätzlich berücksichtigen.
Am heutigen Vormittag werden wir die SSL-Konfiguration aller SharedHosting-Webserver umstellen und damit alte, nicht mehr als sicher geltende SSL-Protokolle und Verschlüsselungsalgorithmen entfernen. Mal ganz abgesehen davon, dass diese sowieso für kaum einen Nutzer noch einen Praxiswert haben, stellt diese Änderung auch eine Voraussetzung für die Einhaltung des “Payment Card Industriy Data Security Standards” (kurz PCI) dar, der für bei uns hostende und ihren Kunden Kreditkartenzahlung anbietende Shopanbieter usw. von Bedeutung ist.
Die neue Konfiguration wurde seit längerer Zeit aktiv bei uns getestet und selbst genutzt, weshalb wir mit keinen Problemen auf Kundenseite rechnen. In Einzelfällen könnten Benutzer verwalteter Browser eine SSL-Fehlermeldung erhalten; dann ist ein Upgrade auf einen (halbwegs) aktuellen Internetbrowser dringend zu empfehlen – nicht zuletzt aufgrund oft gravierender Sicherheitsmängel in den veralteten Programmversionen.
Die Umstellung der dedizierten Server erfolgt übrigens selbstverständlich auch – und zwar noch im Laufe dieser Woche.
Heute mal ein kurzer Hinweis, der nichts mit dF oder Webhosting zu tun hat. Nachdem in der letzten Zeit mehrere, teils schwere Sicherheislücken bei sehr weit verbreiteten Anwendungen bekannt geworden sind, sollten Unternehmen wie Privatnutzer ihre Softwaresicherheit auf den Prüfstand stellen. Dazu gehört es insbesondere auch, die eingesetzte Software auf den aktuellen Stand zu bringen – und zu halten.
Denn auch wenn damit nicht jedes Risiko ausgeschlossen werden kann, wird die Gefahr durch den Einsatz der aktuellsten Programmversionen deutlich reduziert. Das ist zwar mit Aufwand verbunden und wird daher im Alltag viel zu häufig vernachlässigt, ist aber schlichtweg unerlässlich. Um das nicht komplett manuell machen zu müssen, bieten sich einige hilfreiche Optionen an:
1. Secunia Software Inspector (PSI)
Der kostenlos unter http://secunia.com/vulnerability_scanning/personal/ downloadbare “Secunia Personal Software Inspector” (PSI) scannt auf dem Computer eingesetzte Anwendungen und zeigt veraltete Software an. Sofern möglich wird auch ein Direktupdate oder ein Link zur jeweiligen, neuen Programmversion angeboten. Für Unternehmen gibt es auch eine kostenpflichtige Version.
2. Secunia Online Software Inspector (OSI)
Während der “PSI” durch regelmäßige Festplattenscans für die dauerhafte Nutzung ausgelegt ist, ermöglicht die Onlineversion einen unkomplizierten, schnellen Scan des lokales Anwendungsbestandes. Der Onlinescanner kann unter http://secunia.com/vulnerability_scanning/online genutzt werden. Zudem stellt heise online eine Version unter http://www.heise.de/security/dienste/Der-Scan-869077.html zur Nutzung bereit.
3. FileHippo Updatechecker
Ähnlich wie die Secunia-Software überprüft der Updatechecker von FileHippo die auf der Festplatte installierten Anwendungen und zeigt nicht mehr aktuelle Programmversionen an. Abrufbar ist das kostenfreie Programm unter http://www.filehippo.com/updatechecker.
4.Firefox-Plugincheck
Unter https://www.mozilla.com/en-US/plugincheck/ lassen sich die in Firefox genutzten Plugins (z.B. Flash, Java, Shockwave, usw.) auf den aktuellen Stand überprüfen. Bei veralteten Versionen wird auch ein Link zum Update angezeigt. Praktische und schnelle Ergänzung zu den o.g. Scannern, die durch den Plugincheck nicht ersetzt aber ergänzt werden können.
Wer noch Tipps hat: Gerne als Kommentar posten, vielen Dank für (auch im Namen aller anderen Leser) bereits im Voraus.
Wir haben alle Systeme auf denen wir User-Zugriff vergeben untersucht: Diese sind gegenüber der Lücke nicht anfällig. Dies schließt auch alle Systeme im Shared-Hosting sowie Managed-Server ein.
Der Grund dafür ist der Einsatz präventiver Sicherheitssysteme (PaX, GrSecurity).
Zusätzlich enthalten die auf den Systemen eingesetzten Kernel laut unseren Tests keines der bisher als verwundbar identifizierten Protokolle (PF_APPLETALK, PF_IPX, PF_IRDA, PF_X25, PF_AX25, PF_BLUETOOTH, PF_IUCV, IPPROTO_SCTP/PF_INET6, PF_PPPOX, PF_ISDN).
Die heute von Fachmedien gemeldete Sicherheitslücke im Linxux-Kernel (z.B. bei Heise) betrifft uns aller Voraussicht nach nicht, da auf unseren Servern präventive Sicherheitsmaßnahmen greifen. Wir untersuchen jedoch derzeit genau, ob die Schwachstelle auf anderem Weg bei uns ausgenutzt werden könnte. Zumindest vorerst können wir jedoch “Entwarnung” geben.
