Tech News

Für viel Aufsehen sorgt derzeit die Sicherheitslücke in der Java Bibliothek unter dem Begriff Log4j oder Log4Shell (CVE-2021-44228). Bei diesem Exploit handelt es sich nicht um einen Bug und ist somit auch nicht als solcher zu behandeln. Massnahmen zur Behebung sind individuell. Entsprechend haben wir mit den betroffenen Kunden bereits Kontakt aufgenommen. Weitere Informationen sind auf der Website der Bundesverwaltung erhältlich (verlinkt).

Wer "fast" sein möchte, updated aktuell möglichst schnell das beliebte Wordpress Plugin "WP Fastest Cache". Nach einer Meldung von heise.de gibt es Schwachstellen, die die Wordpress Installation angreifbar machen. Offenbar sind Angriffe mit SQL-Injection und Cross-Site-Scripting möglich. Empfohlen wird dringend auf die Version 0.9.5 des Plugins upzudaten. Klicke auf diese Meldung, um auf die Download-Seite von Wordpress zu gelangen.

Gemäss einem Beitrag des Swiss IT Magazine vom 16.05.2021 bestehen in den oben genannten Wordpress Versionen Sicherheitslücken. Im PHPMailer kann der Angreifer via Object Injection eigenen Code einschleusen. Das Leck entsteht wenn die Benutzereingaben nicht "bereinigt" werden, ehe sie an unserialize() übergeben werden. Die Deserialisierung kann dazu führen, dass Code geladen und ausgeführt wird und das kann eben ausgenutzt werden. Behoben wird die Lücke mit der neusten Version 5.7.2.

Der Plattform meineimpfungen.ch werden grobe Mängel nachgesagt, wie in der Republik nachzulesen war. Applikatorisch wurden u.a. folgende Mängel publik: Die Validierung als medizinische Fachperson kann über die Passwort-Vergessen Funktion unterlaufen werden. Wodurch der Zugriff auf Patientendaten möglich wird. Und die ID des jeweiligen Patienten sei weder komplex noch zufallsgeneriert. Ergänzt man diese ID in der URL, hat man Einsicht in den Impfstatus. Wir von webstyle sind nicht der Lage, die Sicherheit von Applikationen zu beurteilen. Jedoch sehr wohl die Massnahmen für den sicheren Betrieb sensibler Daten zu ergreifen.

Vom 17. - 19. März findet online das World Ethical Data Forum statt. Welche Faktoren nebst der Profitabilität kann/soll man sich beim Engineering einer Software und im Umgang mit Daten überlegen? Spannende Diskussionen an während drei Tagen. Alle Referate in Englisch.

Zumindest Google testet nach Angaben eines Berichts den Aufruf von https als "Standard" für Websites. Das bedeutet, das beim Aufruf einer Website nicht mehr wie bisher zuerst die http-Version aufgerufen wird. Noch ist es ein Experiment. Durch das fehlende "Fall-back" auf http würden Websites ohne SSL-Zertifikat nicht mehr funktionieren.

Ende Jahr ist Schluss mit Flash Animationen. Die verschiedenen Browser werden Animationen nicht mehr unterstützen. Und dennoch gibt es sie noch auf zahlreichen Websites von Schweizer KMUs. Für ein Update ist nun definivit höchste Zeit. Alle weitere Informationen dazu direkt auf der Website von Adobe.

Offenbar gelangen bereits gelöschte E-Mails wieder als ungelesene Nachrichten im Posteingang. Diese Information betrifft nur Kunden, die outlook.com und Zimbra verwenden. Im Beitrag von Microsoft wird erklärt, wie das Problem mit einem (komplizierten) Workaround gelöst werden kann.

Diese Erkenntnis ist nicht für alle Entwickler neu aber ein übersichtlicher Einstieg in die häufigsten Sicherheitslücken der Webapplikationen (in Englisch).

Wiederum betrifft es Drupal. Mit der aktuellen Sicherheitslücke kann Schadcode auf dem Server ausgeführt werden. Drupal selber stuft das als "kritisch" ein. Überprüft deshalb bei eurer Drupal Instanz, ob die im verlinkten Beitrag genannten Drupal-Versionen eingespielt sind.