http://www.2f-cms.com/ 2F CMS - Neuigkeiten de_DE http://blogs.law.harvard.edu/tech/rss 2F CMS Thu, 09 Sep 2010 04:59:18 +0200 Thu, 09 Sep 2010 04:59:18 +0200 info@2f-cms.com info@2f-cms.com 2006-10-09T11:38:36+01:00 Erneut gibt es eine Sicherheitswarnung für die Skritsprache PHP (Hier bei Heise). Das 2F CMS ist, anders als viele andere Projekte,  auch hiervon wieder einmal nicht betroffen. http://www.2f-cms.com/beitrag_Sicherheitsl%25FCcke-in-PHP_477.html http://www.2f-cms.com/beitrag_Sicherheitsl%25FCcke-in-PHP_477.html 2 2006-07-30T11:38:36+01:00 Es gibt aktuell ein Problem mit dem DB Backup-Tool im 2F CMS: Je nach mySQL Version kann es fehlerhafte Dumps erzeugen. Es wird zur Zeit überarbeitet, wie bisher gilt aber die Empfehlung, DB Backups immer via phpmyadmin zu ziehen. http://www.2f-cms.com/beitrag_Vorsicht-bei-Backup%252BTool_468.html http://www.2f-cms.com/beitrag_Vorsicht-bei-Backup%252BTool_468.html 2 2006-07-19T11:38:35+01:00 Zur Zeit macht ein Hinweis auf eine "Sicherheitslücke" des FCKEditors die Runde und es wird schon gemutmaßt, dass jedes CMS, dass den FCKEditor einsetzt, diese Lücke beinhaltet. Ich stelle kurz klar: Die aktuellen 2F CMS Downloads sind hiervon nicht betroffen, ich habe die entsprechenden Codezeilen vorausschauend schon vor Wochen umgeschrieben. http://www.2f-cms.com/beitrag_FCKEditor-SecHole%252B-2F-CMS-nicht-betroffen_466.html http://www.2f-cms.com/beitrag_FCKEditor-SecHole%252B-2F-CMS-nicht-betroffen_466.html 2 2006-06-24T11:38:35+01:00 Ein Hinweis in eigener Sache: In der aktuellen "PHP Professionell" ist ein Artikel von mir zum Thema "PHP Sicherheit", der sich auf meinen PHP Security Guide bezieht. Der PHP Security Guide ist kostenlos als PDF verfügbar. Ich danke dem Magzin für diese Möglichkeit, das Thema öffentlich zu machen - von anderen PHP-magazinen habe ich auf meinen umfassenden und auch beliebten PHP Security Guide bisher leider kein Feedback oder gar eine Meldung erhalten. http://www.2f-cms.com/beitrag_Artikel-in-PHP-Professionell_459.html http://www.2f-cms.com/beitrag_Artikel-in-PHP-Professionell_459.html 2 2006-06-07T11:38:34+01:00 Viele Benutzer scheuen die Migration von PHP-Nuke zum 2F CMS wegen des Arbeitsaufwands oder weil sie warten, bis es zu spät ist und die Seite gehackt wurde. Um dem entgegen zu gehen, steht nun etwas neues in unserer Angebotspalette: Die Intrusion Detection für PHP-Nuke. Bei diesem Paket handelt es sich um ein Kombi-paket bestehend aus Die aus dem 2F CMS bekannte Intrusion Detection Die SQL Bereinigung Einbau der ID durch einen Mitarbeiter in ein bestehendes PHP-Nuke 2F-CMS Nutzungslizenz Sie erhalten also den Einbau der Intrusion-Detection in Ihre PHP-Nuke Seite und zusätzlich die 2F-CMS Zugangsdaten samt Nutzungslizenz, so dass Sie jederzeit umsteigen und sich auf jeden Fall das 2F CMS schon einmal ansehen können. Das Ganze zum Paketpreis von 39 Euro inkl. USt. Alle Infos gibt es hier im Shop2F CMS Benutzer, die bereits eine 2F CMS Lizenz haben, finden im Shop ein entsprechendes Angebot nur über den Einbau der Intrusion Detection in bestehende PHP-Nuke Seiten. http://www.2f-cms.com/beitrag_Intrusion-Detection-f%25FCr-PHP%252BNuke_451.html http://www.2f-cms.com/beitrag_Intrusion-Detection-f%25FCr-PHP%252BNuke_451.html 2 2006-06-03T11:38:34+01:00 Panda-Software warnt davor, dass es ganze Bot-Netze gibt, die Mißbraucht werden könne, um in betrügerishcer Absicht Klicks auf Links in Pay-per-Click Anzeigen zu erzeugen. Die Motivation hierzu kann vielfältig, immer aber negavtiv, sein.Link zum Artikel bei Panda-Soft http://www.2f-cms.com/beitrag_Pandasoft-warnt-vor-Pay%252Bper%252BClick-Betrug_446.html http://www.2f-cms.com/beitrag_Pandasoft-warnt-vor-Pay%252Bper%252BClick-Betrug_446.html 2 2006-06-03T11:38:34+01:00 Microsoft bietet einen Sicherheitslehrgang für kleine Unternehmen in Form eines Fils im Internet an. Das Thema ist wichtig und gewinnt immer mehr an Beachtung - die idee ist nett und der Film geht nur 7 Minuten - einen Blick ist es sicherlich Wert:Link zum Film bei MicrosoftBeachten Sie die Möglichkeit, sich direkt durch IM Concepts beraten zu lassen. In Notfällen steht Ihnen unsere Hotline zur Verfügung. http://www.2f-cms.com/beitrag_Sicherheitslehrgang-im-Internet_448.html http://www.2f-cms.com/beitrag_Sicherheitslehrgang-im-Internet_448.html 2 2006-05-20T11:38:33+01:00 Der PHP-Security-Guide hat sich allmählich zu einem Erfolg gemausert: In den letzten 2 Monaten 500 Downloads und eine Menge an Feedback dazu :) Ich habe mich daher nun entschlossen, den Guide zu aktualisieren und zu überarbeiten. Inzwischen umfasst er 40 Seiten und steht kostenlos hier zum Download: Download auf PHPReferenz.de. Eine Registrierung ist nicht notwendig. Ich freue mich weiterhin über reges Lesen und Feedback.Bei der Überarbeitung des PHP-Security Guides habe ich aus den bisher 10 Grundregeln nun 12 gemacht. Hier die aktuelle Fassung der Regeln: 1)    Request-Variablen sind bei register_globals=on auch "normale" Variablen 2)    In ein include() gehören keine REQUEST-Variablen 3)    In eine Ausgabe gehören keine REQUEST-Variablen 4)    Wenn eine Ausgabe von REQUEST-Variablen nötig ist, an htmlspecialchars() denken 5)    Sessions zum Transport von Daten sind besser als REQUEST-Variablen 6)    Wenn Variablen nur einmal definiert werden sollen (etwa Konfigurationsdaten, besonders Pfade für include()), sind Konstanten besser 7)    Daten sind spezifisch zu nutzen - die Unterschiede zwischen POST und GET sollten genutzt werden, nicht immer nur blind REQUEST 8)    REQUEST-Daten, die in einen Datenbankquery übernommen werden, müssen validiert werden 9)    REQUEST-Daten haben nichts in Dateioperationen (fopen() etc.) zu suchen 10)    Variablen in globalem Kontext immer initialisieren und prüfen 11)    Bei dezentralen Dateien immer den Direktzugriff prüfen 12)    Traue keinen Benutzereingaben Eine Erläuterung der Regeln findet sich im kostenlosen PHP-Security-Guide, im Downloadbereich: Hier zu finden http://www.2f-cms.com/beitrag_PHP-Security-Guide-%25FCberarbeitet_440.html http://www.2f-cms.com/beitrag_PHP-Security-Guide-%25FCberarbeitet_440.html 2 2006-04-07T11:38:32+01:00 Das beliebte und für phpnuke als Modul vorliegende Skript "vwar" bietet eine Sicherheitslücke, die einen Remote-Include anbietet. Ein Quickfix:In den Dateien include/get_header.php und include/get_footer.php direkt nach dem <?php diese Zeilen platzieren:  unset($_GET['vwar_root']); unset($_POST['vwar_root']); unset($_COOKIE['vwar_root']);  unset($_REQUEST['vwar_root']);  Dazu habe ich auch ein Advisory von SecFocus vorliegen: http://www.securityfocus.com/bid/17358 Die von mir propagierte htaccess (http://www.2f-cms.com/article438.html) schützt zwar davor, doch nutzen scheinbar die meisten vwar User diese nicht, da das Modul dann nich vollständig funktioniert. Daher nochmal von mir der Hinweis: Diese htaccess sofort einsetzen, dazu nochmal das hier lesen: http://www.2f-cms.com/beitrag_Sofort+htaccess+hinterlegen_461.html. Jedes Modul, das mit dieser htaccess nicht funktioniert ist immer ien potentielels SIcherheitsrisiko, dass erst getestet werden muss! Wer das selber nicht kann und einen Auftrag bei Cyllo scheut, sollte das jeweilige Modul gar nicht einsetzen! Das Risiko ist es jedenfalls nicht wert! Dazu auch die Diskussion im Forum: http://www.laanix.de/showthread.php?t=4041 http://www.2f-cms.com/beitrag_L%25FCcke-im-VWAR-Modul_426.html http://www.2f-cms.com/beitrag_L%25FCcke-im-VWAR-Modul_426.html 2 2006-04-07T11:38:32+01:00 Nocheinmal, diesmal energisch an alle: Hinterlegt alle sofort die von mir beschriebene .htaccess Datei: http://www.2f-cms.com/article438.html Wenn Module mit dieser htaccess nicht funktionieren, gelten die folgenden Regeln, die ihr ernst nehmen solltet:  1) Jedes Modul, das damit nicht funktioniert, ist ein potentielles Sicherheitsloch und gerade ein Grund die Datei zu hinterlegen. Auf gar keinen Fall die htacces snicht nutzen, weil ein Modul damit nicht funktioniert.   2) Module die mit der htaccess nicht laufen müssen einzeln abgeklopft werden. Wenn man das nicht selber kann, ist das erst recht ein Grund diese Module nicht einzusetzen, aber auf keinen Fall ein Grund die htaccess zu löschen. Wahlweise kann man auch auf Cyllo (http://www.cyllo.com) einen kostenpflichtigen Auftrag zur Prüfung erteilen oder im Forum fragen ob es sich einer kostenlos ansieht - letzteres ist immer freiwillig!   3) Wahlweise kann man für einzelne Module eine Ausnahme kreieren, was aber nur eine temporäre Lösung ist und maximal 7 Tage Einsatz finden sollte. So kann in jedem Modul, in dem direkt auf PHP Dateien zugegriffen werden soll, einfach eine weitere htaccess mit diesem Inhalt platziert werden:      <filesmatch ".php$">    allow from all   </filesmatch>    Am Ende unterläuft das aber den Schutz. Macht das endlich! Bei solchen Lücken schützt keine Intrusion Detection, da die Skripte ja direkt aufgerufen werden - es sind somit funktional gesehen eigenständige Skripte und keine Module. Auch wenn es nervt: Schmeisst die Module runter, ansonsten ist es nur eine Frage der ZEit bis eine Seite gehackt wird. Dazu auch im Forum: http://www.laanix.de/showthread.php?p=22088 http://www.2f-cms.com/beitrag_Sofort-htaccess-hinterlegen_427.html http://www.2f-cms.com/beitrag_Sofort-htaccess-hinterlegen_427.html 2