Archiv für den Monat: Dezember 2006

PHPbb Forum wieder mal mit Crosssite Scripting Fehlern und mangelhafter Überprüfung von Eingaben

php enthält mehrere Fehler und sollte dringend von Benutzern aktualisiert werden.
Durch einen Cross site scripting Fehler war es möglich benutzern durch private Nachrichten Inhalte unter zu schieben. Dazu wurde eine mangelhafte Überprüfung von upload Verzeichnissen für Avatare korrigiert.

Die aktuelle Version von phpBB 2.0.22 steht allen Nutzern zum Runterladen bereit. Die deutschen Übersetzungen für phpBB werden noch bearbeitet und sollen demnächst zur Verfügung stehen.
Quellen und weitere Hinweise:

Haben Sie was von Datenschutz, Privatsphäre und vor allem Demokratie gehört Herr Schäuble?

Die Kontrolle und die Sammelwut von Daten durch Behörden scheint kein Ende zu nehmen. Die Provider werden dazu verdonnert jegliche Verbindungsdaten und E-Mails zu speichern. Jetzt scheint die nächste Spitze des Berges anzugehen. Bundesinnenminister Wolfgang Schäuble will Behörden die Möglichkeit einräumen PCs per Internet fernsteuern zu lassen. Dabei scheinen Sachen wie Privatsphäre, Datenschutz und vor allem die Demokratie immer mehr mit Füßen getreten zu werden.

Wenn es auch vielleicht übertrieben klingt, aber ich fühle mich ganz klar als Terrorist abgestempelt, da ich faktisch auf jeden Schritt und Tritt durch Kameras, E-Mail Überwachung und weitere Maßnahmen meine Privatsphäre verletzt fühle.
Natürlich gibt es Maßnahmen wie Verschlüsselung die den Herren vom Amt die Arbeit fast unmöglich machen. Aber das ist nicht Sinn der Sache, den bei großflächiger Nutzung würde solche Technik sofort als rechtswidrig und als Vertuschungsversuch bezeichnet. Was aber das Wichtigste ist, dass solche Verbote für Leute(„Terroristen“, Verbrecher) die sich an Gesetze sowieso nicht halten auch diese Verbote nicht beachten werden.

Wenn ich mir damit sehr viel Ärger einhandeln kann, möchte ich Folgendes trotzdem sagen:

Haben die Herren von der Terrorbekämpfung mal nachgedacht, dass auch die dümmsten „Terroristen“ sich von einem Studenten für 100 Euro zeigen lassen können wie sie per Internet verschlüsselt und damit absolut sicher kommunizieren können. Wenn es Firmen schwer ist auf solche Systeme umzustellen, dann heißt es nicht, dass es für lose Gruppen verteilt über die ganze Welt unmöglich sein wird.
OpenPGP, GnuPG und viele Internetnutzer zeigen, was einfach und effektiv funktioniert. Wenn man Interesse daran hat, dann kann man es sogar kostenlos in einer der vielen Tutorials im Internet nachlesen und installieren.
Deswegen möchte ich ganz klar sagen – mit der Überwachung werden unschuldige Bürger überwacht und nicht diejenigen, die es eigentlich treffen sollte, den meine Beispiele zeigen ganz klar, dass solche Maßnahmen sehr effektiv bekämpft werden können.

Außerdem will ich sehen, wie Sie alle PCs Deutschlands und vor allem importierte PCs mit einer Überwachungssoftware oder -firmware austatten wollen. Übrigens sind Laptops im Ausland billiger und ganz bestimmt ohne „Deutsche Überwachungsmethoden“!

Damit einen guten Rutsch ins Überwachungszeitalter und ein Hoch auf 2007!

Quellen und weitere Hinweise:

Frohe Weihnachten

Ich wünsche allen Lesern frohe Weihnachten und einige ruhige Tage ohne Arbeit, Stress und natürlich ganz tollem Essen, Ausruhen und ganz viel Spass mit der Familie.

Damit die Wirtschaft nicht zu kurz kommt, sollten natürlich auch ein paar Geschenke drin sein. Aber nicht vergessen, Weihnachten sind nicht nur Geschenke, sondern ein Fest für die ganze Familie.
Die vollen Geschäfte – tägliche Meldungen über Rekordumsätze bei dem Weihnachtsgeschäft und ganz viele Leute die hektisch versuchen irgendwas abzustauben, um die Last „Weihnachtsgeschenke“ so schnell wie möglich los zu werden. Dabei soll man vielleicht Halt machen und sich überlegen, dass das Materielle nicht alles ersetzen kann. Viele werde sich auch über was Kleines, eher Persöhnliches wie z.B. was selbst gebasteltes freuen.

Mit diesen Gedanken wünsche ich nochmal wunderschöne Weihnachten und ganz viele Geschenke auch für mich *grins*

Viele Grüße

Konstantin Filtschew

Typo3 mit schwerem Sicherheitsfehler durch unterschieben von Systemkommandos

Auch das unter den Nutzern als sehr sicher geltende Typo3 zeigt Schwächen. Wie die Entwickler warnen lässt sich Typo3 Systembefehle unterschieben. Damit  lassen sich mit den Rechten des Benutzers jegliche Befehle auf dem System ausführen. Allen Nutzern wird empfohlen ihre Version zu aktualisieren. Auf der Typo3 Seite stehen gepatchte Version zur Verfügung.

Von dem Fehler sind alle Versionen ab Typo3 3.7 betroffen und sollten so schnell wie möglich aktualisiert werden, da für das Ausnutzen des Fehlers keine Anmeldung an Typo3 erforderlich ist!

Der Fehler besteht in dem Modul rtehtmlarea. Dieser ist ab der Typo3 Version 4.X standardmäßig aktiviert und reist damit ein riesiges Loch in der Anwedung und den Server selbst. Bei bestehenden Lokal User Lücken wäre der Benutzer damit in der Lage das ganze System zu übernehmen, also zu „root“-Rechten zu gelangen.
Das Modul dient der Rechtschreibprüfung und nutzt dazu die Sprachüberprüfung „aspell“ zum Prüfen der Eingaben. Hier wird eine unzureichende Filterung der Eingaben durchgeführt, was dem Angreifer erlaubt Systembefehle zu übergeben.

Quellen und weitere Hinweise:

Ich danke Ordb für die hervorragende Arbeit für die Spambekämpfung, wenn sie jetzt auch vorbei ist

Ordb schließt ihre Pforten. Damit verlieren erste Dienste aus den Anfängen der Spambekämpfung ihre Bedeutung und schließen die Pforten. Als Nutzer der Open Relay Databse möchte ich den Betreibern danken.
Eure Seite war immer eine sehr große Hilfe für mich, da ich damit in der Lage war die großen offenen Relays zu filtern und bestehende Server auf ihre Relay Fähigkeiten zu testen.

Die Betreiber empfehlen den Nutzern eine Kombination aus Greylisting und Analyse von Inhalten wie Spamassassin.

Verabschiedungsmeldung des ORDB Teams:

Linux Kernel 2.6.19 :: 3 neue Dateisysteme und viele Detailänderungen

Am Donnerstag den 30.11.2006 ist die neue Linux Kernel Version 2.6.19 erschienen.

Zu den Neuerungen zählen 3 neue Dateisysteme: ext4, GFS2 und eCryptfs. Zusätzlich wurden viele Treiber und Komponenten vom Kernel überarbeitet, um die Performance und die Qualität des Kernel zu steigern.

Ext4 ist die Erweiterung des etablierten und von den meisten Distributionen verwendeten ext3 Dateisystems. Dabei wurde Wert auf Qualität und Performance gelegt. Das Dateisystem unterstützt Volumes bis 1024 Petabyte (1 Exabyte) und ermöglicht durch die Erweiterung „extents“ Blöcke im Dateisystem zusammen zu fassen und damit den Verwaltungsaufwand und die Perfomance nochmals zu steigern. Trotz aller Änderungen ist eine Migration auf das neue Dateisystem ohne Auslagerung der Dateien möglich. Später soll sogar der ext3-Treiber durch den ext4-Treiber ersetzt werden, da Dieser ext3 ebenfalls untestützt.

Es gab auch viele weitere Änderungen im Kernel. Bei dem Wechsel auf 2.6.19 wurden viele Treiber überarbeitet und es erfolgte eine gründliche Überarbeitung einiger Infrastrukturen wie ALSA, SATA und SAS. Durch die Neuerungen in ALSA wurden selektiv die ersten OSS-Treiber der alten Linux Sound Architektur entfernt. Wenn alle Treiber nach OSS portiert wurden, dann wird OSS aus dem Linux Kernel entfernt und damit wird hoffentlich das letzte Programm auf ALSA portiert und belegt damit nicht mehr die ganze Soundkarte.
Auch Wireless-Extensions und DVB-T Module wurden aktualisiert. Damit ist eine breitere und bessere Unterstützung der Hardware gewehrleistet.
Um die Einbindung von Xen und VMWare in den Kernel zu ermöglichen wurden neue Schnittstellen geschaffen.

Der überarbeitete IRQ-Handler stellt eine große Änderung in diesem Kernel Release dar. Dabei wurde der Pointer auf den Register-Status der CPU weggelassen, da er einen unnötigen Overhead darstellte und die meisten Treiber diese Information gar nicht gebraucht haben. Diese Änderung betraff über 1000 Dateien und damit zahlreiche Treiber. Allerdings sollte diese Änderung weitere Verbesserungen in den Linux Kernel bringen und natürlich weiter die Perfomance steigern.
Für den Kernel 2.6.20 stehen wieder zahlreiche kleinere und größere Neuerungen vor der Tür und ich freue mich schon auf das nächste Release, während ich Dieses gerade fertig compeliert habe. Ich verabschiede mich von meiner Uptime und betrete hiermit den neuen Kernel 2.6.19. 10 Wochen hat die Entwicklung von 2.6.19 gedauert, mal schauen wie lange 2.6.20 auf sich und seine Neuerungen warten lässt.

Quellen: