Wartungs- und Sicherheitsrelease. Eine vollständige Liste der Änderungen kann man in den Release-Notes zu WordPress 3.3.1 finden.
Inhalt
Apache gegen Apachekiller wappnen
Eine Lücke im Webserver Apache, die in allen Versionen bis 2.2.18 enthalten ist, kann dazu ausgenutzt werden, das komplette System lahmzulegen. Weitere Informationen dazu findet man unter anderem bei Golem. Maßnahmen, die die Ausnutzung der Lücke verhindern, sind in einem Apache Security Advisory aufgeführt.
Nachdem es noch nicht von allen Distributoren entsprechende Aktualisierungen gibt, hier eine kurze Anleitung, wie man die Lücke provisorisch flicken kann – exemplarisch am Beispiel SLES:
- Überprüfen, ob der Apache das headers-Modul geladen hat. Geladene Module bekommt man mit
apache2ctl -M, einkompilierte Module mitapache2ctl -l. - Sollte es nicht geladen sein, es zur Liste der zu ladenden Module hinzufügen. Bei SLES fügt man dazu in der Datei
/etc/sysconfig/apache2der VariablenAPACHE_MODULESden Wertheadershinzu. Weniger SuSE-spezifisch sollte das mita2enmod headersfunktionieren. Im Zweifelsfall konsultieren Sie die Dokumentation Ihrer Distribution. - Für die nötigen zusätzlichen Konfigurationsdirektiven eine Datei erstellen, beispielsweise
/etc/apache2/apk-workaround.conf. Diese sollte nun folgenden Inhalt haben:- Für Apache 2.0:
# Drop the Range header when more than 10 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){10,} bad-range=1
RequestHeader set Range "badrange" env=bad-range
- Für Apache 2.2:
# Drop the Range header when more than 10 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){10,} bad-range=1
RequestHeader unset Range env=bad-range
- Für Apache 2.0:
- Die erstellte Datei muss nun in die Apache-Konfiguration eingebunden werden. Unter SLES ergänzt man hierzu in der Datei
/etc/sysconfig/apache2die VariableAPACHE_CONF_INCLUDE_FILESum den Wert/etc/apache2/apk-workaround.conf. Das sorgt dafür, dass die oben erstellte Datei eingebunden wird. Manuell erreicht man das mit der Zeile
Include /etc/apache2/apk-workaround.conf
in derhttpd.conf. - Als letzte Schritte noch die Konfiguration auf korrekte Syntax überprüfen und den Webserver neu starten:
apache2ctl configtest/etc/init.d/apache2 stop/etc/init.d/apache2 start
Update von WordPress auf 3.1.4
Gestern wurde WordPress 3.1.4 für die Öffentlichkeit freigegeben. Die Aktualisierung enthält ein Wartungs- und Sicherheitsrelease. Eine vollständige Liste der Änderungen kann man in den Release-Notes zu WordPress 3.1.4 finden.
Update von WordPress auf 3.1.3
Die Aktualisierung enthält ein Wartungs- und Sicherheitsrelease. Eine vollständige Liste der Änderungen kann man in den Release-Notes zu WordPress 3.1.3 finden.
Bitte achten Sie auf notwendige Software-Updates bei CMS
Aus aktuellen Anlaß möchten ich nochmals daran erinnern, daß jeder Betreiber eines CMS oder eines Redaktionssystems sich regelmäßig über damit zusammenhängende notwendige Änderungen oder Updates der Hersteller informieren und die daraus folgenden Schritte unternehmen sollte.
Leider stellt sich immer wieder heraus, daß einige Betreiber von Webangeboten an dieser Stelle an Sorgfalt missen lassen.
Grundsätzlich bedarf jedes CMS oder Redaktionssystem einer stetigen und dauerhaften Aufsicht und “Pflege”. Es gibt einfach kein komplexes System, welches einmal installiert, danach nie wieder eine ein “Update” bedarf.
Es ist eine Illusion, die leiderdoch zu weit verbreitet ist, daß ein CMS, einmal aufgesetzt, danach kaum weitere Arbeit bedarf.
Wer ein solches System betreibt und insbesodere trotz vorhandener Sicherheitsupdates des Herstellers keine Aktualisierung der Software innerhalb angemessener Zeit durchführt, handelt fahrlässig. Eine angemessene Zeit kann -je nach Schwere des Sicherheitsproblems oder dem Umfang der Änderungen- wenige Stunden bis Tage sein. Keinesfalls jedoch kann man von einer angemessener Reaktionszeit reden, wenn die Software über mehrere Monate hinweg auf einen alten, unsicheren Zustand verharrt.