Kategorie: Technik

11. Januar 2019

Hinweise zu den unterstützten PHP-Versionen

Mit Beginn des Jahres 2019 wurde die Unterstützung der PHP-Versionen 5.6 und 7.0 durch die PHP-Entwickler eingestellt (End Of Life). Damit wird nun auch die letzte Version aus dem PHP 5 Release-Zweig nicht mehr weiter gepflegt, und mögliche sicherheitskritische Probleme werden nicht mehr behoben. Alle PHP-Version vor PHP 7.1 sind nun veraltet und sollten nicht mehr genutzt werden.

Umstellung auf aktuelle PHP-Versionen

Falls Sie eine Webseite bereits vor mehreren Jahren auf unseren Servern installiert haben, nutzen Sie wahrscheinlich eine veraltete PHP-Version, die nicht mehr gepflegt wird.

Wir können bestehende Webseiten, die ältere PHP-Versionen nutzen, leider nicht einfach auf eine aktuelle PHP-Version Umstellen, da es dabei häufig zu Kompatibilitätsproblemen kommt. Sie müssen daher selbst prüfen, ob Sie eine veraltete PHP-Version nutzen, und dann Testen, mit welcher aktuellen PHP-Version Ihre Webseite funktioniert.

Sofern Sie die PHP-Version nicht per .htacces-Konfigurationsdatei auf dem Webserver umgestellt haben, können Sie die aktuell genutzte PHP-Version direkt im Kundenmenü einsehen und bei Bedarf verändern. Eine Anleitung hierzu finden sie im zugehörigen FAQ-Artikel.

Vor einer Umstellung der PHP-Version sollten Sie Ihre Web-Anwendungen auf mögliche Updates prüfen, um Kompatibilitätsprobleme mit neueren PHP-Versionen zu vermeiden.

Empfohlene PHP-Version

Wir empfehlen die Nutzung von PHP Version 7.2, da PHP 7.3 erst seit wenigen Wochen verfügbar ist, und daher noch Probleme mit einigen Web-Anwendungen auftreten.

Abschaltung veralteter PHP-Versionen

Die veralteten PHP-Versionen 5.2, 5.3, 5.5, 5.6 und 7.0 bleiben zunächst auch weiter auf unseren Webservern verfügbar, sollten jedoch nach Möglichkeit nicht mehr genutzt werden.

Wir werden unsere Ubuntu Linux basierten Webserver im Laufe dieses Jahres auf Ubuntu 18.10 (Bionic) umstellen, und planen im Rahmen dieser Umstellung eine Reduzierung der von uns unterstützen PHP-Versionen auf PHP 5.6 und neuer. Ältere PHP-Versionen lassen sich unter Bionic nur mit hohem Aufwand nutzen, da sie nicht mit aktuellen Versionen von Standardsoftwarebibliotheken wie OpenSSL kompatibel sind.

Webseiten, die auf ältere PHP-Versionen angewiesen sind, werden auf eigene Server umgezogen. Die Nutzung dieser Server wird aufgrund des hohen Wartungsaufwands zu einem späteren Zeitpunkt kostenpflichtig. Wir werden betroffene Kunden darüber rechtzeitig per E-Mail informieren.

6. Dezember 201828. Januar 2019

PHP 7.3 verfügbar

Auf unseren Webservern steht ab sofort die heute neu erschienene PHP-Version 7.3 zur Verfügung.

Wir haben die seit Mitte September erschienenen Release-Candidate-Versionen bereits zu Testzwecken auf allen Webservern installiert, nun ist die finale Version 7.3.0 verfügbar und kann für den Produktivbetrieb genutzt werden.

Änderungen zur Vorgängerversion PHP 7.2

Grundsätzlich fallen die Änderungen im Vergleich zur Vorgängerversion PHP 7.2 eher geringfügig aus, so dass viele Web-Anwendungen bereits mit PHP 7.3 kompatibel sind, oder nur kleinere Anpassungen erfordern. Eine Übersicht über alle Änderungen finden Sie hier.

Nutzer des beliebtesten Content-Management-Systems WordPress sollten vor der Umstellung auf PHP 7.3 ein Update auf die ebenfalls heute erschienene WordPress-Version 5.0 vornehmen, die einige kleinere Kompatiblitätsprobleme mit PHP 7.3 behebt.

Verbesserungen in PHP 7.3

Für Endanwender besonders interessant sind mögliche Geschwindigkeitsvorteile bei der Ausführung von PHP-Scripts, wir konnten hier in unseren bisherigen Tests einen kleinen Vorteil von etwa 5% gegenüber der Vorgängerversion PHP 7.2 feststellen. Durch einen Umstieg auf PHP 7.3 lässt sich die Seitenladezeit also leicht reduzieren, was häufig zu einer besseren Seitenbewertung durch Suchmaschinen führt.

PHP 7.3 aktivieren

Sie können PHP 7.3 für Ihre Webseiten wie üblich über unser Kundenmenü oder per .htaccess-Datei mittels folgender Direktive aktivieren:

AddHandler application/x-httpd-php73 .php

Kunden, die PHP-FPM nutzen, können eine Umstellung auf PHP 7.3 formlos per E-Mail beauftragen.

Hinweise zu den unterstützten PHP-Versionen

Die PHP-Versionen 5.2, 5.3 und 5.5 sind seit mehreren Jahren veraltet und sollten nicht mehr genutzt werden. Für die PHP-Versionen 5.6 und 7.0 sind heute die voraussichtlich letzten Updates erschienen, die Pflege dieser Versionen wird von den PHP-Entwicklern zum Jahresende eingestellt.

Diese älteren PHP-Versionen stehen auch weiterhin auf unseren Webservern zur Verfügung, sie können jedoch kritische Sicherheitslücken aufweisen, die nicht mehr im Rahmen regelmäßiger Updates behoben werden. Sie sollten für Ihre Webseiten daher nach Möglichkeit die aktuell unterstützten PHP-Versionen 7.1, 7.2 oder 7.3 verwenden.

Beachten Sie bitte, dass wir die für bestehende Webseiten genutzte PHP-Version unsererseits nicht ändern, da es zu Kompatibilitätsproblemen mit älteren Web-Anwendungen kommen kann. Falls Sie bereits seit mehreren Jahren bei uns Kunde sind, nutzen Ihre Webseiten wahrscheinlich eine mittlerweile veraltete PHP-Version und Sie sollten nach Möglichkeit eine aktuellere PHP-Version auswählen (wir empfehlen PHP 7.2). Eine Anleitung zur Änderung der PHP-Version finden Sie in unseren FAQ.

14. September 2018

PHP-Version im Kundenmenü pro Domain einstellbar

Ab sofort können Sie die PHP-Version im Kundenmenü nicht mehr nur für ein gesamtes Webhosting-Paket vorgeben, sondern zusätzlich auch für jede einzelne (Sub)Domain.

Wählen Sie dazu im Kundenmenü zunächst die gewünschte Domain in der Domainübersicht aus. Dort können Sie nun unter “Hosting und Weiterleitungen” zusätzlich die genutzte PHP-Version einsehen. Um die PHP-Version zu ändern, klicken Sie auf die gewünschte (Sub)Domain, und wählen dann unter PHP die gewünschte Version aus. Sie können dort festlegen, ob die für das Paket ausgewählte PHP-Version genutzt werden soll, oder eine abweichende PHP-Version:

Falls sie eine abweichende PHP-Version per .htaccess-Konfigurationsdatei auf dem Webserver festgelegt haben, so überschreibt diese die Einstellung im Kundenmenü. Wir empfehlen, die PHP-Version über das Kundenmenü zu setzen, da Sie so eine bessere Übersicht über die genutzten PHP-Versionen haben.

13. September 201814. September 2018

PHP 7.3 RC1 verfügbar

Heute ist der erste Release Candidate (RC1) der neuen PHP-Version 7.3 erschienen. Sie können diese neue PHP-Version ab sofort auch auf unseren Webservern ausprobieren.

Beachten Sie dabei bitte, dass es sich um eine Testversion handelt, die noch einige Fehler enthalten kann; die finale Version wird voraussichtlich Mitte Dezember veröffentlicht. Bis dahin werden noch einige weitere Release Candiate Versionen erscheinen, die wir zeitnah installieren werden.

Änderungen in PHP 7.3

Die Änderungen zur Vorgängerversion 7.2 fallen eher geringfügig aus, so dass die meisten mit PHP 7.2 kompatiblen Web-Anwendungen auch mit PHP 7.3 funktionieren. Eine Übersicht über alle Änderungen finden Sie hier.

Viele bekannte PHP-Anwendungen wie WordPress sind in der aktuellen Version bereits mit PHP 7.3 kompatibel, es kann jedoch vereinzelt Probleme mit zusätzlichen Themes und Plugins geben.

Vorteile von PHP 7.3

Wir konnten in ersten Tests einen Performance-Vorteil von etwa 5% bis 10% im Vergleich zur Vorgängerversion 7.2 feststellen. Mit dem Umstieg auf PHP 7.3 kann sich also die Seitenladezeit etwas reduzieren, was die Benutzererfahrung verbessert und sich nicht zuletzt auch positiv auf die Bewertung durch Suchmaschinen auswirkt.

PHP 7.3 aktivieren

Sie können PHP 7.3 wie üblich entweder über das Kundenmenü (empfohlen) oder per .htaccess-Datei zum Beispiel für einzelne Unterverzeichnisse mittels folgender Direktive aktivieren:
AddHandler application/x-httpd-php73 .php
Beachten Sie für weitere Hinweise zur Änderung der PHP-Version auch den zugehörigen FAQ-Artikel.
Da es sich noch um eine Testversion handelt, sollten Sie diese nicht für wichtige Webseiten nutzen.

Hinweise zu PHP 5.6 und 7.0

Beachten Sie bitte, dass die offizielle Unterstützung für die PHP-Versionen 5.6 und 7.0 im Dezember dieses Jahres eingestellt wird. Diese PHP-Versionen werden dann zwar weiter auf unseren Webservern verfügbar sein, es gibt jedoch keine regelmäßigen Updates von den PHP-Entwicklern mehr, so dass eventuelle Bugs und Sicherheitsprobleme nicht mehr behoben werden. Sie sollten diese PHP-Versionen daher nach Möglichkeit nicht mehr verwenden, und auf eine aktuelle Version wie PHP 7.2 umsteigen.

Beachten Sie bitte, dass die für einen Webserver-Benutzeraccount voreingestellte PHP-Version nie durch uns auf eine neuere Version geändert wird, auch wenn diese PHP-Version in der Zwischenzeit völlig veraltet ist. Der Grund dafür ist, dass ein Wechsel auf eine neuere PHP-Version bei älteren Web-Anwendungen zu Problemen führen kann.

Falls Sie Ihre Webseite bereits seit mehreren Jahren auf unseren Servern hinterlegt haben, sollten Sie prüfen, ob dafür eine mittlerweile veraltete PHP-Version genutzt wird. Die für Ihre Webseite aktuell genutzte PHP-Version können Sie am einfachsten über unser vorgefertigtes PHP-Info-Script ermitteln, dass Sie per (S)FTP auf den Webserver kopieren und dann im Web-Browser aufrufen. Sie können die PHP-Version jederzeit ändern, sollten danach aber immer prüfen, ob Ihre Webseite weiter funktioniert.

4. September 2018

Kritische Sicherheitslücken in GhostScript

Am 21.08. wurden diverse kritische Sicherheitslücken im PostScript-Interpreter GhostScript bekannt. GhostScript wird auf Unix-Systemen zur Verarbeitung von PDF-Dateien genutzt, unter anderem auch vom PHP-Modul ImageMagick, daher sind auch unsere Webserver von diesem Problem betroffen.

Da ImageMagick den Dateityp anhand des Inhaltes erkennt, und auch in andere Dateitypen eingebettete PostScript/PDF-Daten unterstützt, lässt sich diese Sicherheitslücke auch bei der Verarbeitung von Bilddateien wie JPG oder PNG ausnutzen. Damit sind auch alle PHP-Anwendungen betroffen, bei denen Benutzer Bilder hochladen können, die dann mittels ImageMagick weiter verarbeitet werden.

Da momentan noch keine Sicherheitsupdates verfügbar sind, haben wir die Verarbeitung von PostScript- und PDF-Dateien in ImageMagick temporär deaktiviert, bis die entsprechenden Updates auf unseren Webservern installiert wurden.

25. Juli 20181. August 2018

Einrichtung von ALIAS-Einträgen im Kundenmenü

Auswahl des Typs "ALIAS" im Kundenmenü Ab sofort können Sie im Kundenmenü DNS-Einträge vom Typ ALIAS anlegen. Ein ALIAS-Eintrag funktioniert ähnlich wie ein CNAME-Eintrag, überschreibt jedoch keine anderen gleichnamigen DNS-Einträge, sondern kann mit diesen koexistieren. ALIAS-Einträge verweisen immer auf A- bzw. AAAA-Einträge, diese werden dabei durch unsere DNS-Server aufgelöst, so dass bei einer DNS-Anfrage kein Unterschied zu einem normalen A bzw. AAAA-Eintrag zu erkennen ist. Im Gegensatz zu CNAME-Einträgen können ALIAS-Einträge auch für die Hauptdomain genutzt werden.

ALIAS-Einträge bieten sich insbesondere für Weiterleitungen auf Cloud Hosting Dienstleister oder Content Delivery Networks an. Hier ergibt sich häufig das Problem, dass die IP-Adressen der Zielserver wechseln können und die Anbieter daher DNS-Einträge statt IP-Adressen zur Nutzung ihrer Dienste vorgeben. Möchte man einen solchen Dienst unter einem eigenen Domainnamen nutzen, so musste man bisher eine CNAME-Weiterleitung einrichten. Diese hat jedoch den Nachteil, dass sie nur für Subdomains nutzbar ist und dabei alle anderen Einträge der Subdomain wie z.B. MX-Einträge für Mail-Server überschreibt. ALIAS-Einträge hingegen überschreiben keine MX-Einträge und können auch für die Hauptdomain genutzt werden.

Mehr Informationen finden Sie auch in unserem FAQ-Artikel: Was sind ALIAS-Einträge und wie funktionieren sie?

28. Mai 201828. Mai 2018

Privat: Automatische HTTPS-Weiterleitung im Kundenmenü konfigurierbar

Falls Sie für Ihre Webseite ein SSL-Zertifikat (Let’s Encrypt, Comodo) gebucht haben, können Sie eine automatische Weiterleitung von unverschlüsselten HTTP- auf verschlüsselte HTTPS-Aufrufe nun auch einfach im Kundenmenü konfigurieren.

Öffnen Sie dazu im Kundenmenü die Seite “Hosting & Weiterleitungen” und klicken dann auf die gewünschte Domain, dort finden Sie unter “SSL” die neue Option “Umleitung auf HTTPS”. Alternativ können Sie eine solche Weiterleitung auch wie bisher per .htaccess-Konfigurationsdatei einrichten.

Diese Funktion steht für Domains mit Webspace sowie Frame-Weiterleitungen zur Verfügung. Bitte achten Sie im Falle von Frame-Weiterleitungen darauf, dass auch die eingebettete Webseite per HTTPS aufgerufen wird.

22. März 201822. Juni 2018

PayPal Umstellung auf TLS 1.2 und HTTP/1.1

Ab Juli 2018 stellt der Zahlungsanbieter PayPal die Unterstützung der mittlerweile veralteten TLS-Versionen 1.0 und 1.1 ein. Weiterhin setzt PayPal dann zwingend das HTTP-Protokoll ab Version 1.1 voraus, ältere Versionen wie 1.0 werden nicht mehr unterstützt.

Webshops, die PayPal als Zahlungsmethode anbieten, und dabei direkt auf eine PayPal-Schnittstelle zugreifen (z.B. Instant Payment Notification), müssen bis dahin auf die aktuelle TLS-Version 1.2 sowie HTTP/1.1 umgestellt werden. Die meisten Webshops greifen auf die PayPal-Schnittstellen mittels libcurl zu, dabei wird auf unseren Webservern standardmäßig HTTP/1.1 und TLS 1.2 genutzt. Manche Webshops nutzen jedoch nicht die Standardeinstellungen von libcurl, sondern setzen ausdrücklich eine ältere TLS Version wie 1.0. Dies wird zukünftig zu Problemen führen.

PayPal informiert betroffene Kunden aktuell per E-Mail, diese müssen bis zum Juli 2018 ein Update der Webshop-Software bzw. des PayPal Zahlungsmoduls vornehmen.

Falls Sie noch einen älteren WebShop betreiben, und keine Updates für das PayPal-Zahlungsmodul bereitstehen, müssen Sie ggf. den PHP-Quellcode anpassen. Suchen Sie dazu nach allen PHP-Dateien, in denen die Zeichenfolgen “curl_setopt” und “TLSv1” vorkommen, und kommentieren diese in einem Text-Editor mittels vorangestelltem // aus. Sie können die betroffenen Dateien mit den entsprechenden Stellen im Quellcode über folgenden SSH-Befehl ermitteln:

find . -name "*.php" -exec grep "curl_setopt(.*TLSv1" {} \; -print

15. Februar 201815. Februar 2018

Einrichtung von CAA-Records im Kundenmenü

Ab sofort lassen sich im DNS-Bereich des Kundenmenüs Einträge mit dem Typ “CAA” (Certification Authority Authorization) anlegen. Sie dienen der Überprüfung, ob eine bestimmte Zertifizierungsstelle (z.B. Comodo oder Let’s Encrypt) ein SSL-Zertifikat für die jeweilige Domain ausstellen darf. Die Prüfung wird seit September 2017 von allen Zertifizierungsstellen bei der Neuausstellung und Verlängerung von Zertifikaten durchgeführt.

Existieren für eine Domain keine CAA-Einträge, kann jede Zertifizierungsstelle ein Zertifikat für die Domain ausstellen. Wenn CAA-Einträge existieren, darf nur die angegebene Zertifizierungsstelle ein Zertifikat ausstellen. Auf diese Weise wird die missbräuchliche Ausstellung von Zertifikaten deutlich erschwert.

Mehr Informationen und Beispiele zur Nutzung von CAA-Records finden Sie unserem FAQ-Artikel: Was sind CAA-Einträge und wie funktionieren sie?

8. Januar 201812. Januar 2018

Informationen zu den Sicherheitslücken Meltdown und Spectre

Seit einigen Tagen wird in den Medien verstärkt über schwere Sicherheitslücken in häufig genutzten CPUs für PCs, Smartphones und Tablets berichtet.

Die Meltdown genannte Sicherheitslücke ermöglicht das Auslesen des gesamten Arbeitsspeichers, die Spectre genannte Sicherheitslücke ermöglicht das Auslesen des Arbeitsspeichers eines Prozesses. Beide Sicherheitslücken erfordern die Ausführung von speziellem Schadcode, Angreifer könnten so Zugriff auf vertrauliche Daten wie Passwörter oder E-Mails erhalten.

Auswirkungen auf unsere Dienste

Da ein Angreifer zur Ausnutzung dieser Sicherheitslücken eigenen Schadcode ausführen muss, lassen sich beide Sicherheitslücken theoretisch auf unseren Webservern ausnutzen, andere Dienste wie E-Mail oder MySQL sind jedoch nicht betroffen.

Meltdown

Die Meltdown-Sicherheitslücke kann auf unseren Webservern nicht ausgenutzt werden, da sie nur Intel-CPUs betrifft, die wir gegenwärtig nicht für Webserver einsetzen.

Spectre

Die Spectre-Sicherheitslücke kann zumindest in einer Variante auf unseren Webservern ausgenutzt werden (bounds check bypass, CVE-2017-5753), es können dadurch aber nur eigene Benutzerprozesse angegriffen werden, jedoch keine Systemdienste oder Prozesse von anderen Webserver-Benutzern. Die Ausnutzung dieser Sicherheitslücke durch einen Angreifer setzt voraus, dass dieser über eine anderweitige Sicherheitslücke in einer Web-Anwendung (z.B. veraltete Installationen eines Content-Management-Systems) oder ausgespähte Zugangsdaten eigenen Code auf dem Webserver ausführen kann. In diesem Fall hat ein Angreifer jedoch ohnehin Zugriff auf sämtliche Daten eines Webserver-Benutzers, daher tritt durch Spectre keine zusätzliche Verschlimmerung ein.

Eine zumindest theoretisch möglicher Angriff betrifft Kunden, die PHP-FPM nutzen. Dort könnte unter Umständen auf den im Arbeitsspeicher hinterlegten OpCode-Cache von PHP-FPM, der von mehreren Webserver-Benutzern geteilt wird, zugegriffen werden. Ein solcher Angriff wäre jedoch – sofern überhaupt möglich – sehr komplex, da der betroffene Speicherbereich nicht direkt ausgelesen wird, sondern durch einen sogenannten Seitenkanal Rückschlüsse auf den Speicherinhalt gezogen werden. Auf einem Webserver, wo ständig viele gleichzeitige Prozesse laufen, ist dieser Angriff sehr fehleranfällig, so dass wir momentan von einem relativ geringen Risiko ausgehen.

Die Spectre-Sicherheitslücke lässt sich jedoch auch über JavaScript-Schadcode im Web-Browser ausnutzen, daher sollten Sie die von Ihnen genutzten Web-Browser aktualisieren und die aktuellen Systemupdates für Ihre Smartphones und Tablets installieren.

Update (12.1.)

Es ist momentan noch immer unklar, inwiefern Spectre eine relevantes Sicherheitsrisiko für unsere Webserver darstellt. Die bisher bekannten erfolgreichen Angriffe mittels Spectre stellen auf unseren Systemen keine Gefahr da, es könnten jedoch zukünftig neue Angriffe entwickelt werden, die dann auch unsere Webserver betreffen.

Um die Spectre-Sicherheitslücke zu schließen, sind Microcode-Updates für die CPUs sowie Kernel-Updates für das Betriebssystem erforderlich. Diese Updates sind momentan noch nicht für alle von uns genutzten CPU-Typen verfügbar, sie werden voraussichtlich gegen Ende Januar bereitstehen.