Neuigkeiten
Startseite » Linux

Linux

Apache Sicherheitslücke im Modul mod_status

Mit einem Marktanteil von rund 37% ist der Apache Webserver wohl der beliebteste Webserver auf dem Markt. Nun aber macht ihm eine Sicherheitslücke im Modul mod_status zu schaffen. Die Webseite  Zero Day Initiative  hat festgestellt das in allen Apache2 Version diese Sicherheitslücke auftritt.  Die Sicherheitslücke tritt im Apache2 Modul mod_status auf. Dieses ist dazu da um Statistiken und Zugriffe zu sammeln. Apache Sicherheitslücke schon behoben Seit dem 16.07.2014 ist die Lücke für Apache 2.2 und 2.4 geschlossen und der Sicherheitspatch im Quellcode eingepflegt. Eine recht lange Zeit wenn man bedenkt das Bereits am 30. Mai 2014 die Sicherheitslücke dem Apache-Projekt gemeldet wurde. Das Update dürfte im Laufe des Tages in die Software-Repositories der verschiedenen Distributionen aufgenommen werden. Wer Webserver betreut sollte daher mal nach einem Update schauen und diesen schnellstmöglich einspielen oder das Modul mod_status erst einmal deaktivieren. Was passiert bei der Sicherheitslücke Im Statistik-Modul  kann unter einer sogenannten Race Condition ...

Mehr lesen »

OpenSSL mit schwerer Sicherheitslücke

Sicherheitsexperten haben eine schwere Sicherheitslücke in OpenSSL gefunden, dieses wurde letzte Nach bekannt gegeben und die Sicherheitslücke ist als sehr groß einzustufen. OpenSSL wird auf Linux Server eingesetzt um nur ein Beispiel zu nennen SSL Zertifikate zu erstellen die dann der Server für die Verschlüsselung benutzt. Mehr Infos über OpenSSL bekommt Ihr auf Wikipedia : http://de.wikipedia.org/wiki/OpenSSL. Die Sicherheitslücke betrifft OpenSSL Versionen von 1.0.1 bis 1.0.1f. Durch senden von speziellen Datenpaketen kann man bei diesen OpenSSL Versionen benutzen um Private Keys auszulesen. Mit Hilfe dieser Keys kann man dann abgefangene Daten entschlüsseln. So ist es den Sicherheitsexperten gelungen die Secret Keys des X.509-Zertifikates, Nachrichten eines Chat Messengers zu lesen und  Benutzernamen und Passwörter stehlen und lesbar zu machen. OpenSSL Heartbleed Bug OpenSSL hat bereits reagiert und eine neue Version auf der https://www.openssl.org/source/ bereit gestellt. Die Version 1.0.1g vom 07 April 2014 hat die Sicherheitslücke, die die Experten mit OpenSSL Heartbleed Bug getauft ...

Mehr lesen »

WiFi Sicherheitslücke in Ubuntu 13.10

Eine schwere WiFi Sicherheitslücke in der Linux Distribution Ubuntu 13.10 macht gerade eine große runde im Internet. Es geht darum das Ubuntu die gespeicherten WiFi Passwörter für alle sichtbar und im Klartext in /etc zu finden sind. Eigentlich wird so etwas im geschützten und verschlüsselten User Verzeichnis gespeichert. In Ubuntu 13.10 ist es ohne die User zu Informieren allerdings nicht so. Ziel der Ubuntu Entwickler war es eigentlich alle WiFi Passwörter und Netze für jeden Benutzer des Ubuntu System benutzbar sind. Ein schwerer Fehler wie es sich im Nachhinein herausstellt. Gefunden hat die Sicherheitslücke Per Guth und hat in der Mailingliste von Ubuntu auch gleich darauf hingewiesen. Allerdings bleibt ein Offizieller Fix seitens Ubuntu bisher aus und so hat Per Guth in seinem Blog echt.guth.so gleich ein passenden Workaround bereitgestellt. Die Reaktion des Ubuntu-Entwickler Dimitri Ledkov dazu: „Die Anleitung macht mir Angst. Man sollte kein eigenes Setuid-Binary kompilieren (müssen).“ Einig sind ...

Mehr lesen »

Froxlor 0.9.30 – PHP Notice Bug im Ticket System

Gestern habe ich bei einem Server die Froxlor Version upgedatet. An sich bei Froxlor keine große Sache, dazu werde ich aber mal ein Extra Beitrag schreiben. Hier geht es nun darum wenn man seine Froxlor auf die Version 0.9.30 upgedatet hat und im Browser nun in der Übersicht folgende PHP Fehlermeldung bekommt :   [warning]Notice: Undefined variable: awaitingtickets in /var/www/froxlor/admin_index.php(209) : eval()’d code on line 4[/warning] Dieses ist eigentlich nichts schlimmes und kommt daher wenn man in Froxlor sein Ticket System ausgestellt hat aber die Variable nicht mehr definiert ist. Der Fehler ist für die nächste Version vorgemerkt und sollte dort behoben sein. Wer nicht solange warten möchte kann es schnell und einfach selber beheben. Die Datei /lib/init.php mit dem Editor eures Vertrauen öffnen Sucht nun die Zeile 437 Ändert dort bei if ($settings[‚ticket‘][‚enabled‘] == ‚1‚) { die 1 einfach in eine 0 So sollte es nun aussehen : if ($settings[‚ticket‘][‚enabled‘] ...

Mehr lesen »

Unter Plesk E-Mail Passwörter auslesen

Eher eine kleine Randnotiz für mich selber, aber vielleicht kann der eine oder andere unter euch es ja auch gebrauchen. Da ich auf einem Server mit Plesk 11.5 als Admin Oberfäche die E-Mail Passwörter von den bestehenden Mail Accounts brauchte, musste eine Lösung her, wie ich mir schnell und einfach die E-Mail Passwörter anzeigen lassen kann. Soweit mir bekannt geht diese Lösung ab der Plesk 9.x Version bis zum Stand heute 11.5 wunderbar. Einfach auf euren Server mit „root“ oder einem User mit endsprechenden Rechten via SSH einloggen und folgendes in die Konsole eingeben : [important] /usr/local/psa/admin/sbin/mail_auth_view [/important Schon seht ihr alle in Plesk angelegten E-Mail Adressen sowie die Passwörter dazu.

Mehr lesen »