Anmelden

Einloggen

Username *
Password *
an mich erinnern

Update des Ticketsystemes

Heute früh gab es ein größeres Update des Ticketsystems, welches problemlos durchgeführt wurde.

Natürlich sind alle bestehenden Tickets, sowie die Login-Daten erhalten geblieben, es wurden lediglich kleine Bug-fixes vorgenommen.

Das Ticketsystem erreichen Sie auch weiterhin per Email unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

LiveConfig Version 1.7.2 verfügbar / schwere Sicherheitslücke in OpenSSL 1.0.1

Heute wurde LiveConfig in der Version 1.7.2 freigegeben.

 

Da hier eine schnwere Sicherheitslücke in Verbindung mit OpenSSL 1.0.1 geschlossen wird, empfehlenb wir allen Nutzern ein sofortiges Update!
Die Server von Webshooter, ebenso die von hier gemanagten Server wurden bereits aktualisiert.

 

 

Nachfolgend die Hinweis von Keppler IT, dem Hersteller von LiveConfig

 


 

ab sofort steht LiveConfig v1.7.2 (r2825) zum Download bereit.

Neben einigen neuen Funktionen und Fehlerbeseitigungen wurde vor allem die in LiveConfig integrierte OpenSSL-Bibliothek von v1.0.1f auf v1.0.1g aktualisiert.
Hintergrund ist die am 07.04.2014 bekannt gewordene Sicherheitslücke in OpenSSL (CVE-2014-0160, derzeit unter dem Namen "Heartbleed" bekannt).

Wir empfehlen daher allen Nutzern von LiveConfig, ihre Server schnellstmöglich zu aktualisieren. Dabei reicht es *nicht*, nur die OpenSSL-Bibliothek zu aktualisieren - alle Dienste mit SSL-Unterstützung müssen neu gestartet werden (im Zweifelsfall einfach den ganzen Server neu starten).
Ob ein Dienst noch verwundbar ist, können Sie z.B. via http://filippo.io/Heartbleed/ prüfen.

Bitte informieren Sie Ihre Kunden ebenfalls über diesen Fehler in OpenSSL sowie die Notwendigkeit, ihre Server auf den aktuellen Stand zu bringen und ggf. die Zertifikate mit neuen Schlüsseln zu ersetzen.

Wenn Sie LiveConfig mit einem automatisch erstellten, selbst-signierten Zertifikat genutzt haben, löschen Sie dieses bitte
(/etc/liveconfig/sslcert.pem) und starten LiveConfig anschließend neu - es erzeugt dann automatisch ein neues Zertifikat, welches Sie in Ihrem Browser erneut akzeptieren müssen.

LiveConfig unterstützt übrigens standardmäßig die sogenannte "Perfect Forward Secrecy" (PFS). Datenverkehr, der zwischen LiveConfig und einem aktuellen Browser mittels PFS ausgetauscht wurde, kann so auch nicht nachträglich entschlüsselt werden.

---------------------------------------------
Hintergrundinformation zu dem OpenSSL-Fehler:
---------------------------------------------
Die entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).
Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!
Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).

Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist derzeit noch unklar.

Weitere Informationen zu dem Fehler finden Sie u.a. in einem Beitrag auf Heise Online:
http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html

Zu diesem Thema im LiveConfig-Forum:
http://www.liveconfig.com/de/forum/threads/1280-EILIG-LiveConfig-v1-7-2-verf%FCgbar-Sicherheitsl%FCcke-in-OpenSSL-1-0-1

 

 

 

Joomla 3.2.1 veröffentlicht

Seit gestern steht mit Joomla 3.2.1 eine fehlerbereinigte Version aus dem STS-Versionszweig zum Download bereit, die eine ganze Reihe signifikanter Fehler und Probleme beheben soll. Darunter findet man auch die Lösung für das „Lockout“ Problem (Passwort-Hashing).

Anwendern von Joomla 3.2 wird die Aktualisierung zum schnellstmöglichen Zeitpunkt empfohlen, das Update kann auf einfache Weise über das Administratoren Backend eingespielt werden.

Weietre Details können direkt der Projektseite unter http://www.joomla.de/news/52-joomla-3-2-1-veroeffentlicht entnommen werden.

 

 

Erreichbarkeit im Jahr 2013

 

Nachdem wir die ersten Stunden um Jahr 2014 verbracht haben, freuen wir uns, im Jahr 2013 eine nahezu 100%ige Verfügbarkeit erreicht zu haben.

 

Seit mehreren Jahren lassen wir die Erreichbarkeit durch drei unabhängige Testplattformen messen - die Ergebnisse sprechen für sich!

 

zu den Testergebnissen

 

Alle aktuellen Werte finden Sie unter https://www.webshooter.de/sonstiges/verfuegbarkeit/aktuelle-werte.html

Joomla 2.5.17 erschienen

Das Projekt hat für die aktuell unterstützte LTS-Version Joomla 2.5 ein Update veröffentlicht. Joomla 2.5.17 ist als reines Wartungsrelease deklariert und behebt eine Reihe der in der Zwischenzeit gemeldeten Fehler. Wie üblich, kann das Update auf einfache Weise direkt über das Administratoren Backend eingespielt werden.

Weitere Information sind direkt über http://www.joomla.de/news/50-joomla-2-5-17-erschienen abrufbar.

Insgesamt wurden an die 20 Fehler behoben, das Update sollte daher durchgeführt werden um alle Komponenten aktuell zu halten.