Veni, Vidi, VISA - Software

"Gefährliche Sicherheitslücken bei Firefox"

blog@strcat.de (Christian Schneider) — Thu, 17 Jul 2008 12:51:47 +0200

http://www.welt.de/[..]/Gefaehrliche_Sicherheitsluecken_bei_Firefox.html
Peinlicher Auftakt für den neuen Firefox: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gravierenden Fehlern beim Internet-Browser. Angreifer könnten leicht Daten ausspähen und Viren oder Trojaner einschleusen. Eine Lösung für das Problem gibt es zum Glück bereits.
[more]

Apropos Sicherheitsluecken.. um Wordpress ist es momentan ziemlich still.. obs daran liegt das sich niemand mehr den Source ansieht weil niemand soviel essen kann? :>

Neuer Rekord von Firefox

blog@strcat.de (Christian Schneider) — Thu, 19 Jun 2008 12:43:34 +0200

Nicht nur der (erfolgreiche?) Weltrekordversuch in Bezug auf die Downloads, sondern auch ein neuer Rekord was Sicherheitsluecken anbelangt, denn so wie es aussieht bleibt Firefox seiner Linie treu: Speicherfressend und auf dem besten Weg mehr Bugs zu haben als OjE und/oder Sendmail.
Aber hey.. ja nicht dagegen meckern, weil Firefox ist naemlich voll gut und mit 'n Haufen Addons und so!!!111!

// Update:
http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Can't locate auto/Irssi/version.al in @INC

blog@strcat.de (Christian Schneider) — Mon, 09 Jun 2008 07:50:00 +0200

Was genau Irssi da von mir will weiss ich zwar weder ich noch Google, aber es wird schon seine Richtigkeit haben.. maybe.. *sigh*

Mutt und multiple Accounts Part II.

blog@strcat.de (Christian Schneider) — Sun, 27 Apr 2008 16:26:44 +0200

Hier habe ich geschrieben das man mit Mutt verschiedene Identitaeten nutzen kann, indem man die reply-hooks einsetzt. Seitdem hab ich mehrere Anfragen auf ein funktionierendes Setup bekommen (Du warst nicht der einzige CryptoCrack :p) und bevor ich alle einzeln beantworte poste ich es gleich hier:

# ~/.muttrc



set reverse_name

# Account foobar

reply-hook "~C fnord@foobar.invalid"        'set realname="Christian Schneider"'

reply-hook "~C fnord@foobar.invalid"        'set from="fnord@foobar.invalid"'

reply-hook "~C fnord@foobar.invalid"        'set sendmail="/usr/bin/msmtp -a gmail'



# Account jehova

reply-hook "~C jehova@gmx.invalid"  'set realname="Christian Schneider"'

reply-hook "~C jehova@gmx.invalid"  'set from="jehova@gmx.invalid"'

reply-hook "~C jehova@gmx.invalid"  'set sendmail="/usr/bin/msmtp -a default'

Zum Versenden nutze ich msmtp und da sieht die Konfiguration wie folgt aus:

# ~/.msmtprc



# Account foobar

host mail.foobar.invalid

user fnord@foobar.invalid

from fnord@foobar.invalid

password 2342



# Account jehova

account default

host smtp.gmx.invalid

from jehova@gmx.invalid

user jehova@gmx.invalid

password 2342

Das ~C ist ein sog. Pattern und sorgt dafuer das nur Nachrichten abgearbeitet werden, bei denen das nachfolgende Pattern im To: oder Cc: steht. Wenn man jetzt eine Mail bekommt, die an jehova@gmx.invalid adressiert ist, dann zieht der reply-hook und aendert die eigene Adresse. Somit werden Mails die an jehova@gmx.invalid geschickt wurden, auch von jehova@gmx.invalid beantwortet.

Ich habe das mit obiger Konfiguration (mit angepassten Adressen/Hosts/Passwoertern) bei einem neu angelegtem User mit Mutt 1.5.17 aus dem CVS von 20080114 getestet. Wem langweilig ist, der kann man pruefen ob das bei ihm auch funktioniert, da es bei CryptoCrack anscheinend nicht korrekt funktioniert.

Mutt und multiple Accounts oder..

blog@strcat.de (Christian Schneider) — Fri, 25 Apr 2008 01:24:17 +0200

wie man seine Zeit sinnlos verschwendet. Geht eigentlich ganz einfach.. also das Zeit verschwenden. Man setzt sich hin, liest mehrere Stunden lang http://www.mutt.org/doc/manual/ und Google durch und stellt dann fest das man reply-hook verwenden kann. Darauf kommt man auch schneller; naemlich indem man die Dokumentationen durchliest, die fuer die eingesetzte Version geschrieben wurden. Naemlich http://www.mutt.org/doc/devel/manual.html *narf*

"Kann man denn nicht rauskriegen wer das gemacht hat?"

blog@strcat.de (Christian Schneider) — Tue, 22 Apr 2008 16:24:42 +0200

So war die Frage nachdem einige Konfigurationsdateien unter /etc kaputtoptimiert bzw. geloescht wurden. Fuer die Frage gibt es eine Antwort; naemlich root. Allerdings stellt sich dann die Frage: Welcher?

grep -c 'x:0:0' /etc/passwd

19

Nein! Ich war das nicht!

Serendipity 1.3.1 released

blog@strcat.de (Christian Schneider) — Tue, 22 Apr 2008 12:30:58 +0200

http://blog.s9y.org/archives/193-Serendipity-1.3.1-released.html

erendipity 1.3.1 has been released. This is a bugfix and security related release, basically adressing a potential XSS issue within the Top Referrers plugin as well as hypothetical XSS issues with the installer.

This release also adresses some basic PostgreSQL8 related problems, because implicit type casts have been removed from this version, causing breakage with several Serendipity core features. The fix for this is only partial and will still happen in (less common) functions of Serendipity. There is no ultimate solution to this because implicit type casts are required for certain entryproperty operations. Maybe the PostgreSQL8 team will think about if implicit type casts are not also quite helpful.

The only new feature addition is the exposition of a new smarty {serendipity_getImageSize} function.

This upgrade is recommended for users that use the Top Referrers plugin and new installations of Serendipity. Many thanks to Hanno Böck, once again, for reporting (and fixing) the two XSS issues (CVE-2008-1385 and CVE-2008-1386)!

You can find the new release on the s9y.org download page. Upgrade by simply uploading the deflated archive files to your webspace.

Ich muss jetzt doch irgendwann mal updaten *sigh*

Serendipity 1.3 released

blog@strcat.de (Christian Schneider) — Tue, 18 Mar 2008 11:29:53 +0100

http://blog.s9y.org/archives/192-Serendipity-1.3-released-addresses-security.html
Serendipity 1.3 has finally been released. The new release is mainly a feature consolidation release, but also contains XSS security fixes:

The karma rating plugin has been upgraded to support nice, CSS-based rating graphics (see this post) and an overall rehaul on the its coding.
Make the Spartacus plugin be able to use FTP upload, a workaround for SafeMode PHP restrictions. Also add a remote backend for plugin update checks.
An importer for phpNuke and lifetype has been added.
Support for pingbacks has been improved a lot. Trackbacks can now be blocked based on Sender IP checks.
Add better CSS styling for some internal plugins and the embedding of images. Also made the Remote-RSS plugin to be capable of Smarty-Templating.
Increased Smarty templating features for the {serendipity_fetchPrintEntries} function, to be able to check for entry properties.
Add support for SQRelay.
Minor CSS and graphic updates to the Bulletproof template.

The full list of 41 changes to this release are documented within the NEWS file.

Regarding Security, the bundled Smarty library has been updated to version 2.6.19 and adresses an issue in environments where the PHP security mode is required. Also, the new Serendipity release contains tighter backend XSS checks so that environments with untrusted authors can be more secure - many thanks to Hanno Böck for addressing this. Most importantly, an issue with XSS attacks within received trackbacks has been discovered by Peter Hüwe and was fixed.

The update is easy as usual, and recommended for Serendipity users - especially if you do not regularly moderate or check your incoming trackbacks.

Upgrade pointers can be found in the FAQ and is as easy as just to upload the new files.

Have fun!

Wenn das Blog hier also mal wieder down ist (Database error), dann wisst ihr das ich update.. maybe..

"Das muss ein Fehler von Debian sein!"

blog@strcat.de (Christian Schneider) — Thu, 13 Mar 2008 17:26:23 +0100

Normalerweise wuerde ich dem sogar zustimmen, aber wenn man mit apt-get(8) ein Paket auf hold setzt darf man sich nicht wundern wenn es von einem aptitude dist-upgrade ignoriert wird; steht ja auch so im Anwenderhandbuch. Komich das ihm das "nach fast 20 Jahren Linuxerfahrung" noch niemand gesagt hat.

Naja.. was will man auch von einem Linux-Admin erwarten der taeglich im Anzug seine Arbeit verrichtet und nichtmal Turnschuhe hat, erwarten?!!!111!

vsftpd-Howto

blog@strcat.de (Christian Schneider) — Wed, 12 Mar 2008 19:57:28 +0100

Unter http://strcat.de/eigenes/vsftp.html habe ich vor Jahren mal ein Tutorial ueber vsftpd verfasst und das bis ~2006 auch relativ aktuell gehalten. Mittlerweile ist das aber hoffnungslos veraltet (Stand: vsftpd 2.0.3 / Aktuell: 2.0.6). Wenn ich mal etwas mehr Zeit habe, werde ich die Anleitung auf den neusten Stand bringen und ggf. anders strukturieren (insbesondere den Abschnitt Parameter der Konfigurationsdatei.
Wenn jemand (realisierbare!) Vorschlaege, Wuensche, Antraege, .. hat, dann immer her damit. Das gilt nicht nur fuer die Strukturierung, sondern auch fuer den Inhalt.

Einrueckungen von Fussnoten mit LaTeX

blog@strcat.de (Christian Schneider) — Sun, 09 Mar 2008 19:49:49 +0100

Mit

foobar\footnote{Lorem ipsum dolor sit amet, consectetur. Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed

  do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation

  ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit

  esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia

  deserunt mollit.}

wird eine ganz normale Fussnote in LaTeX erstellt, wobei die Nummerierung eingerueckt ist und der Text der Fussnote "vor" der Nummerierung anfaengt; also

¹ Lorem ipsum dolor sit amet, consectetur. [...]

Ut enim ad minim veniam, quis nostrud exercitation [..]

² Zweite Fussnote ...

Wenn man - wie ich - das nicht will, kann man folgendes verwenden

\makeatletter

 \renewcommand\@makefntext[1]{%

  \setlength{\hangindent}{2em}

  \noindent

  \hb@xt@\hangindent{%

     \hss\@textsuperscript{\normalfont\@thefnmark}\hspace{.1em}}#1}

\makeatother

Anschliessend sieht es so aus:

¹ Lorem ipsum dolor sit amet, consectetur. [...]

  Ut enim ad minim veniam, quis nostrud exercitation [..]

² Zweite Fussnote ...

Wenn jemand eine bessere Alternative hat, dann immer her damit.

"Es kann nicht sein das Ihr Backup-Script nicht funktioniert!"

blog@strcat.de (Christian Schneider) — Wed, 05 Mar 2008 23:35:42 +0100

...wurde mir heute am spaeten Nachmittag von einem Admin im Beiseins seines Chefs vorgeworfen. "Es funktioniert nach Einspielen des Backups durch Ihr unbrauchbares Backup-Script auf dem Host naemlich kein einziges Programm mehr!". Ich mich etwas verwirrt bzw. erstaunt an den Server gesetzt und wollte ihn hochfahren, was anhand 8.4 Millionen Zeilen an Fehlermeldungen nicht funktioniert hat. Also GRML rein, davon gebootet, die Partitionen gemountet und was mussten meine Augen nach einigem Rumhacken im System sehen?

$ file /bin/login

/bin/login:ELF 64-bit LSB executable, x86-64, version 1 (SYSV), [..]

Eigentlich auch in Ordnung wenn getconf LONG_BIT nicht 32 ausgegeben haette. Gut das ich die Dokumentationen/Scripte/Patche/.. immer auf CD gebrannt uebergebe (aber das habe ich ja hier schonmal geschrieben). So war er naemlich in Erklaerungsnot als auf dem System im Backup-Script die Zeilen

# WICHTIG: Dieses Backup-Script ist abhängig von der Architektur des Systems, 

#          da NICHT die Paketauswahl, sondern die bei der Installation

#          eingespielten und vorkompilierten Packages eingespielt werden!

#          Ergo MUSS die Architektur beider Systeme identisch sein!

SARCH="$(getconf LONG_BIT)"

if [ "${SARCH}" != "64" ];

    then

           echo 'Die Systemarchitektur stimmt nicht überein!'

           exit 1

    else

          [....]

kommentiert waren, waehrend das in dem auf CD gebrannten Script nicht der Fall war und der Probelauf im Beiseins einer dritten Person problemlos funktionierte.

Zur Erklaerung: Das Script lief auf einem Debian-Server (i686, 32Bit) den ich vor einiger Zeit mal aufgesetzt habe. Das die vorkompilierten Programme und nicht die Paketliste eingespielt wurde so gewuenscht. $ADMIN hat (wieso auch immer) das Backup-Script eines anderen von mir aufgesetzten Server (x86_64, 64Bit) auf dem i686, 32Bit - Server genutzt und im Script selbst die Zeilen kommentiert, die exakt das verhindern sollten. Ich hab auch keine Ahnung wie er es geschafft hat die Packages auf einer anderen Architektur zu installieren (Funktioniert das ueberhaupt einfach so? Hab ich noch nie ausprobiert. Anyone?!), geschweige denn wie er das anschliessend seinem Chef erklaert hat der waehrend der Fehlersuche hinter mir stand und mir auf die Finger gesehen hat.

Es sind halt die kleinen Dinge die das Leben erst lebenswert machen.

Die Gruende, die fuer Produkte von Microsoft sprechen!

blog@strcat.de (Christian Schneider) — Mon, 25 Feb 2008 18:22:52 +0100

* Microsoft bietet Support fuer eigene Produkte an
* Microsoft ist fuehrend in der Entwicklung neuer Technologien
* Microsoft ist Benutzerfreundlich
* Microsoft unterstuetzt mehr Hardwarekomponenten als andere Systeme
* Der Einsatz von Produkte von Microsoft senkt auf Dauer die Kosten erheblich
* Microsoft bietet umfangreiche Dokumentationen zu seinen Produkten an
* Microsoft stellt professionelle Entwicklungsprogramme zur Verfuegung

Weiter kam er nicht. Mein (ungewolltes) Lachen hat ihn doch verwirrt und seine Praesentation gestoert. Ich hab mich aber dann auch gentleman-like bei ihm und den restlichen Anzugtraegern entschuldigt.

Texteinbindung unter LaTeX

blog@strcat.de (Christian Schneider) — Sun, 17 Feb 2008 15:45:12 +0100

\input{foobar.txt} funktioniert so wie es soll, aber nicht mehr. Die Einrueckungen innerhalb der Datei foobar.txt gehen dadurch leider verloren und ein

\begin{verbatim}

\input{foobar.txt}

\end{verbatim}

macht das was es soll und nicht das was man will. Aber dem kann man abhelfen, indem man \usepackage{verbatim} einbindet. Dann kann man einfach \verbatiminput{foobar.txt} schreiben. Ausserdem kann man auch mehrzeilige Kommentare angeben ohne jede Zeile mit % zu deklarieren:

\begin{comment}

foo

bar

barfoo

foobar

\end{comment}

Mental note to self: Endlich mal einen Mirror von Dante anlegen!

Drecks Praesentationen!

blog@strcat.de (Christian Schneider) — Fri, 08 Feb 2008 19:52:06 +0100

Ich hasse es Praesentationen zu halten. Wieso kann man nicht einfach eine Folie zeigen auf der steht: "Windows ist fuer Server *total* unbrauchbar!"?! Natuerlich.. man kann das ja nicht einfach so sagen. Man muss es anders formulieren, auf 30 Folien verteilen, mit Statistiken belegen (*keine* technischen Details, weil $Anzugtraeger mit RSVP und Konsorten eh nix anfangen koennen) und Vergleiche anstellen, damit diejenigen mit der wenigsten Ahnung sich auch mal technisch kompetent fuehlen koennen wenn sie stummschweigend mit dem Kopf nicken.