15 Jahre managedhosting.de

Liebe Kunden, Geschäftspartner und Freunde,

bereits 15 Jahre sind seit der Gründung von managedhosting.de vergangen.

Wir wirken unbemerkt. Wie die Cloud selbst, bleiben wir im Hintergrund, sichern wichtige Datensätze, stellen Systeme zur Verfügung und reparieren sie, bevor etwas Unerwartetes passiert. Unbemerkt von außen, leise und vor allem: ohne Aufwand für Sie. Wir lösen IT-Probleme, bevor sie entstehen und ohne ein Wort darüber zu verlieren, wenn es nicht dringend notwendig ist. Und das schon seit 15 Jahren.

Trotz aller Widrigkeiten, die derzeit in unser Leben drängen, wünschen wir Ihnen ein erfolgreiches Geschäftsjahr bei bester Gesundheit und weiterhin eine phantastische Zusammenarbeit.

FileCloud Version 21.3

FileCloud steht seit Februar 2022 in der neuen Version 21.3 zur Verfügung.  Neben vielen Detailverbesserungen und Fehlerbehebungen sind vor allem das neue „Compliance Center für HIPAA und DSGVO“ sowie das verbesserte „Admin Dashboard“ erwähnenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.

Die vollständige Liste aller Änderungen finden Sie wie immer in den Release Notes (Englisch).

Das verbesserte Admin Dashboard von FileCloud

Eine große Verbesserung die mit der FileCloud Version 21.3 eingeführt wurde, betrifft das Admin Dashboard.

Das Admin Dashboard und Login Portal wurden erneuert und bieten nicht nur ein neues Aussehen, sondern auch neue Funktionserweiterungen. Diese beinhalten:

  • Links zu Schnellmaßnahmen und Warnmeldungen oben auf der Seite für zeitnahe Benachrichtigung und schnellen Zugriff
  • Drag-and-Drop-Widgets für eine bessere Visualisierung und ein individuelles Erlebnis

Adminitratoren können die neuen Drag-and-Drop-Widgets verwenden, um Informationen nach Priorität zu ordnen oder sie zu sortieren, in dem sie das entsprechende Widget an der gewünschten Stelle im Panel platzieren. Widgets können jederzeit in ihrer Größe verändert, komplett entfernt und wieder hinzugefügt werden.

Darüber hinaus wurden die Informationen in den Widgets optimiert, um direkt auf den ersten Blick aussagekräftigere Informationen zu liefern. Die Widgets „Dateitypverteilung“ und „Nutzerverteilung“ liefern beispielsweise genaue Zahlen, wenn Sie den Mauszeiger über die Diagramme bewegen.

FileCloud 21 - Admin Dashboard

Compliance Center für HIPAA und DSGVO

Das Compliance Center wurde um eine Unterstützungsfunktion für die Einhaltung von HIPAA- und DSGVO Richtlinien erweitert. Administratoren können jetzt die in FileCloud integrierten Best-Practices-Vorschläge nutzen, um alle erforderlichen Sicherheits- und Freigabeeinstellungen für ITAR, HIPAA und DSGVO mit nur einem Klick anzuwenden. Das Compliance Center ist in der FileCloud Enterprise Edition verfügbar.

FileCloud 21 - Compliance Center

CVE-2021-44228 – Sicherheitslücke in Log4j (Log4Shell)

Auf verschiedenen Portalen wurde über eine kritische Zero-Day-Lücke in Log4j unter dem Namen Log4Shell berichtet. Die offiziellen Meldungen dazu sind den originalen Quellen zu entnehmen:

Durch die Sicherheitslücke verwundbar sind die Log4j Versionen 2.0-beta9 bis 2.14.1. Zusätzlich wird darauf verwiesen, dass alle Applikationen, die mindestens Java 8 U121 mit den Standardeinstellungen verwenden, selbst bei verwundbarer Log4j Version nicht kompromittierbar sind, da hier die Standardeinstellungen

com.sun.jndi.rmi.object.trustURLCodebase false
com.sun.jndi.cosnaming.object.trustURLCodebase false

die Ausführung von Code eines fremden Systems (Remote Code Execution)  verhindern. Weitere Informationen dazu sind in den Java – Release Notes zu finden: https://www.oracle.com/java/technologies/javase/8u121-relnotes.html.

Nach derzeitigem Kenntnisstand ist die Sicherheitslücke demnach nur ausnutzbar, wenn alle der folgenden Bedingungen zutreffend sind:

  • Es muss eine Java- basierte Applikation einen Dienst präsentieren, der (auch indirekt) kompromittierende Anfragen entgegen nimmt und diese Anfragen unter Nutzung von Log4j protokolliert.
  • Die Java Version muss älter als die Versionen Java 6 U211, Java 7 U201 oder Java 8 U191 sein oder die standardmäßigen Einstellungen zur Verhinderung der Ausführung von nachgeladenem Code aus externen Quellen müssen deaktiviert sein.
  • Es ist Log4j in Versionen 2.0-beta9 bis 2.14.1 im Einsatz.

Falls es nicht ohne weiters möglich ist, die aktuelle Log4j Version 2.15.x zu verwenden, so kann die verwundbare Funktion mittels Konfigurationsparameter log4j2.formatMsgNoLookups=true deaktiviert werden.

Applikationen

Zimbra Collaboration Suite

Laut der vom Softwarehersteller Zimbra veröffentlichten Mitteilung, verwenden die aktuellen Versionen der Zimbra Collaboration Suite die Komponente Log4j in der Version 1.2.16 und sind somit nicht für Angriffe  unter Ausnutzung dieser Sicherheitslücke anfällig.

Update (15.12.2021):

0-day Exploit Vulnerability for log4j (CVE-2021-44228)
After intensive review and testing, Zimbra Development determined that the 0-day exploit vulnerability for log4j (CVE-2021-44228) does not affect the current Supported Zimbra versions (9.0.0 & 8.8.15). Zimbra Collaboration Server currently uses log4j1 version 1.2.16 which doesn’t contain the lookup expression feature that is found within versions 2.0 to 2.17, which is the cause of the vulnerability. Also, Redhat (CVE-2021-4104) vulnerability does not affect the Zimbra Collaboration Server version (8.8.15 & 9.0.0). For this vulnerability to affect the server, it needs JMSAppender, which the ZCS Server does not use, and the ability to append configuration files.

Quellen:
https://support.zimbra.com
https://wiki.zimbra.com/wiki/Security_Center

VMware vSphere

VMware fasst in einem eigenen Artikel alle nötigen Informationen sowie Links zu den relevanten Sicherheitshinweisen zusammen:

Quelle: https://blogs.vmware.com/vsphere/2021/12/vmsa-2021-0028-log4j-what-you-need-to-know.html.

VMware Cloud Director

VMware Cloud Director ist laut der Übersicht unter https://www.vmware.com/security/advisories/VMSA-2021-0028.html nicht von dieser Sicherheitslücke betroffen. Eine offizielle Bestätigung seitens VMware steht hier noch aus.

Apache SOLR

Für Apache SOLR kann die Anfälligkeit für die o.g. Sicherheitslücke durch aktivieren der Java-Option log4j2.formatMsgNoLookups=true beseitigt werden. Dazu ist folgende Option am Ende der Konfigurationsdatei /etc/default/solr.in.sh nötig:

# CVE-2021-44228 - Log4j (Log4Shell) Mitigation
SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"

Diese Konfiguration wurde bereits vorsorglich auf allen von managedhosting.de betriebenen Instanzen mit Managed Service Paket ausgerollt.

FileCloud

FileCloud ist eine PHP- basierte Anwendung und somit nicht direkt von CVE-2021-44228 – Log4j (Log4Shell) betroffen. Jedoch verwendet FileCloud zur Indizierung von Inhalten Apache SOLR, welcher wiederum Log4j benutzt. Nach jetzigem Kenntnisstand ist seitens der Applikation kein Durchgriff auf die entsprechenden Funktionen in Log4j möglich. Vorsorglich wurde jedoch die für die Härtung empfohlene SOLR – Konfiguration auf allen von managedhosting.de betriebenen FileCloud- Instanzen ausgerollt.

Update (16.12.2021): FileCloud hat inzwischen einen entsprechenden Patch für SOLOR und eine aktualisierte Version veröffentlicht.

Quelle: https://www.getfilecloud.com/supportdocs/display/cloud/Advisory+2021-12-2+Impact+of+Apache+Log4j2+Vulnerability+on+FileCloud+Customers

FileCloud Version 21.1

FileCloud steht seit Juni 2021 in der neuen Version 21.1 zur Verfügung. Neben vielen Detailverbesserungen ist vor allem die optimierte Perfomance der Applikation nennenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.

Die vollständige Liste aller Änderungen finden Sie wie immer in den Release Notes (Englisch).

Role Based Access Control (RBAC)

Die Rechteverwaltung für FileCloud Administratoren wurde komplett neu gestaltet und stellt jetzt eine rollenbasierte Rechteverwaltung bereit, die nach Bedarf individuell konfiguriert und einzelnen Nutzern oder Nutzergruppen zugewiesen werden kann.

Für folgende Bereiche können Administratoren nach Bedarf die Rechte „Read“, „Create“, „Update“ und „Delete“ zugewiesen werden:

  • Alert
  • Audit
  • Customization
  • Device Management
  • Encryption
  • Federated Search
  • Files
  • Folder Permissions
  • Groups
  • Locks
  • Manage Administrators
  • Metadata
  • Network Share
  • Notifications
  • Reports
  • Retention
  • Rich Dashboard
  • Settings
  • Smart Classification
  • Smart DLP
  • System
  • Team Folders
  • User Share
  • Users
  • Workflow

FileCloud 21 - RBAC

Abkürzungstasten (Keyboard Shortcut Keys)

Ebenfalls neu ist die Bedienbarkeit des Web UIs mittels Tastenkombinationen. Die vollständige Liste finden Sie in der Online Dokumentation (Englisch).

FileCloud 21 - Shortcut Keys

 

 

FileCloud Version 20.2 (Aurora)

FileCloud steht seit Oktober 2020 in der neuen Version 20.2 – Codename „Aurora“ zur Verfügung. Neben generellen Verbesserungen ist in dieser Version vor allem die neue, komplett überarbeitete Benutzeroberfläche bemerkenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.

Magento Security Updates 2.4.1, 2.3.6 und 2.4.0-p1

Im nunmehr zweiten Sicherheitsupdate nach Ende des Supports für Magento 1 werden Lücken geschlossen, die Adobe selbst als wichtig bzw. kritisch einstuft. Während die meisten der geschlossenen Lücken mit Admin-Zugang ausnutzbar sind, wird auch eine Cross-site Scripting-Lücke genannt, die ohne Credentials auskommt.

Browserhersteller beschließen maximale Zertifikatslebensdauer von einem Jahr

Apple, die Mozilla Foundation (FireFox) und Google haben beschlossen, dass ihre Browser für alle ab dem 01.09.2020 ausgestellten Zertifikate nur eine maximale Gültigkeitsdauer von einem Jahr (398 Tage, d. h. 1 Jahr + 1 Monat Karenz) akzeptieren. Damit wurde die erst von 5 Jahren auf 3 und dann auf 2 Jahre verkürzte Gültigkeitsdauer von Zertifikaten erneut beschnitten, was letztlich in einem erhöhtem Administrationsaufwand für nicht bspw. per Let’s Encrypt automatisierbare Zertifikate mündet.