Tech News

Gemäss Drupal hat die von Drupal benutzte Library Guzzle eine Sicherheitslücke. Offenbar ist es dadurch Angreifern möglich, die Kontrolle über betroffene Websites zu übernehmen. Einstufung von Guzzle: hochristkant. Aus diesem Grund wird dringend empfohlen, die Patches einzuspielen. Im verlinkten Beitrag von Drupal findest du die Links für die Patches.

Wir haben für dich einige Änderungen, die mit PHP 8.1 kommen, zusammengetragen. Auch wenn 8.1 kein Major Release ist, können Änderunge am Code notwendig sein. Mehr dazu findest du auf php.net. Hinweis für WordPress: PHP 8.1 ist noch nicht mit WordPress 5.8 kompatibel.

Swiss Hosting hat ausgewertet, welche Frameworks unter den Entwicklern am häufigsten eingesetzt wurden. Gewonnen hat Node.js. Hier geht es zur kompletten Übersicht und Auswertung.

Für viel Aufsehen sorgt derzeit die Sicherheitslücke in der Java Bibliothek unter dem Begriff Log4j oder Log4Shell (CVE-2021-44228). Bei diesem Exploit handelt es sich nicht um einen Bug und ist somit auch nicht als solcher zu behandeln. Massnahmen zur Behebung sind individuell. Entsprechend haben wir mit den betroffenen Kunden bereits Kontakt aufgenommen. Weitere Informationen sind auf der Website der Bundesverwaltung erhältlich (verlinkt).

Wer "fast" sein möchte, updated aktuell möglichst schnell das beliebte Wordpress Plugin "WP Fastest Cache". Nach einer Meldung von heise.de gibt es Schwachstellen, die die Wordpress Installation angreifbar machen. Offenbar sind Angriffe mit SQL-Injection und Cross-Site-Scripting möglich. Empfohlen wird dringend auf die Version 0.9.5 des Plugins upzudaten. Klicke auf diese Meldung, um auf die Download-Seite von Wordpress zu gelangen.

Gemäss einem Beitrag des Swiss IT Magazine vom 16.05.2021 bestehen in den oben genannten Wordpress Versionen Sicherheitslücken. Im PHPMailer kann der Angreifer via Object Injection eigenen Code einschleusen. Das Leck entsteht wenn die Benutzereingaben nicht "bereinigt" werden, ehe sie an unserialize() übergeben werden. Die Deserialisierung kann dazu führen, dass Code geladen und ausgeführt wird und das kann eben ausgenutzt werden. Behoben wird die Lücke mit der neusten Version 5.7.2.

Der Plattform meineimpfungen.ch werden grobe Mängel nachgesagt, wie in der Republik nachzulesen war. Applikatorisch wurden u.a. folgende Mängel publik: Die Validierung als medizinische Fachperson kann über die Passwort-Vergessen Funktion unterlaufen werden. Wodurch der Zugriff auf Patientendaten möglich wird. Und die ID des jeweiligen Patienten sei weder komplex noch zufallsgeneriert. Ergänzt man diese ID in der URL, hat man Einsicht in den Impfstatus. Wir von webstyle sind nicht der Lage, die Sicherheit von Applikationen zu beurteilen. Jedoch sehr wohl die Massnahmen für den sicheren Betrieb sensibler Daten zu ergreifen.

Vom 17. - 19. März findet online das World Ethical Data Forum statt. Welche Faktoren nebst der Profitabilität kann/soll man sich beim Engineering einer Software und im Umgang mit Daten überlegen? Spannende Diskussionen an während drei Tagen. Alle Referate in Englisch.

Zumindest Google testet nach Angaben eines Berichts den Aufruf von https als "Standard" für Websites. Das bedeutet, das beim Aufruf einer Website nicht mehr wie bisher zuerst die http-Version aufgerufen wird. Noch ist es ein Experiment. Durch das fehlende "Fall-back" auf http würden Websites ohne SSL-Zertifikat nicht mehr funktionieren.

Ende Jahr ist Schluss mit Flash Animationen. Die verschiedenen Browser werden Animationen nicht mehr unterstützen. Und dennoch gibt es sie noch auf zahlreichen Websites von Schweizer KMUs. Für ein Update ist nun definivit höchste Zeit. Alle weitere Informationen dazu direkt auf der Website von Adobe.