Archiv

Artikel Tagged ‘fail’

CVE-2014-0160 und Debian mit Parallels Plesk Fail! *Update*

11. April 2014 2 Kommentare

heartbleedNach wie vor in aller Munde eine kurze Meldung zum Thema Heartbleed, Debian und Plesk.
Mit dem neuen Debian libssl Paket kommt laut Changelog auch die Nachricht, dass betroffene Dienste neu gestartet werden sollten, so das Changelog von Debian:

* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

So kommt nach der Installation eine schoene Box in der ein paar Dienste aufgelistet werden und ein voreiliger Admin wiegt sich danach in Sicherheit, jedoch vorsicht ist angesagt, denn es werden nicht alle Dienste neu gestartet, Paradebeispiel hierfuer ist Debian mit Plesk und Nginx Combo.
Seit Plesk 11.x kommt Nginx als Caching Proxy fuer statische Inhalte mit auf die Server (zumindest in der Standardconfig). Debian startet aber Nginx nicht neu nach dem Update und von daher bleibt die Luecke bestehen, daher unbedingt nach dem Einspielen des Updates pruefen ob auch wirklich alle Dienste sicher sind, die Windowsmethode neustart ist hier durchaus angebracht.

Wieso ich hier ausdruecklich Plesk schreibe? Weil ich weiss das Plesk sich eigenen Paketen bedient und auch die Verwaltung des Startens von Nginx uebernimmt, ich weiss nicht ob sich der Fehler auf Debian Systemen ohne Plesk ebenfalls reproduzieren laesst.

UPDATE: thekingofroots hat das Szenario ohne Plesk durchgespielt und teilt mit, dass Debian Nginx neu startet nach dem libssl Update, danke dafuer.
Es scheint also der direkte Zusammenhang gegeben zu sein zwischen Plesk installiert Nginx und Debian startet diesen nicht neu nach libssl Updates.

Facebook, Design Fehler in den Privatsphaeren Einstellungen

8. Februar 2013 Keine Kommentare

facebookVor einigen Tagen erreichte mich ein befreundeter Forensiker, Marko Rogge von Omega Defense mit einer Frage zu Android, wie sagte er?: „Du kennst Dich doch mit Android besser aus als der Standard User?“, Marko ist im Zuge einer forensischen Auswertung aufgefallen das die Android Facebook App recht viele Daten auf das Mobile schaufelt ohne das hier eine Erlaubnis fuer den Sync gegeben wurde, ein reines installieren und einmaliges Anmelden in dieser war ausreichend um neben allen Profilbildern und Kontakten, alle Privatnachrichten und auch Kontaktadressen auf das Geraet zu schaufeln.
Interessant war vor allem die Tatsache, dass scheinbar versteckte Mailadressen auch auf dem Geraet landen, aber wie wir feststellen konnten nicht alle und so begann die Suche was denn hier passiert ist, am Ende stellte sich heraus das es einen Fehler im Design der Privatsphaeren Einstellungen von Facebook gibt, hier lassen sich Mailadressen zwar fuer Freunde freischalten, jedoch im gleichen Atemzug auf der Webseite von der Timeline/Chronik verstecken, schlaue Idee. Mehr…

Plesk Update 8 auf 10 schlaegt fehl, Plesk nicht mehr erreichbar…

22. August 2011 Keine Kommentare

Nach einem Debian Update von Debian 4.x auf 5.x und einem fehlgeschlagenen Plesk Update ist erst einmal guter Rat teuer, Plesk war nicht mehr erreichbar, startet auch nicht mehr und wer die Logging Routinen von Plesk kennt, der weiss, das ist nun kein Spass mehr. Im vorliegenden Fall ist ein Update von Plesk 8.6.0 auf 9.x respektive 10.x fehlgeschlagen und aeusserte sich wie folgt: Mehr…

Sony vs. Hotz – Die Einigung aka Geohot knickt ein

11. April 2011 Keine Kommentare

Sony und George Hotz aka Gehot haben sich scheinbar geeinigt und das war es dann mit George und seinen Hacks, ein feiger Zug, viel mehr erwartet habe ich von dem Kleinen aber auch nicht nur schade.
Er kehrt somit der Hackergemeinde den Ruecken zu, ob nun fuer ihn die beste Wahl oder nicht, das soll jeder fuer sich selbst entscheiden, aber nach der Welle¹ die er gemacht hat, haette man eigentlich mehr erhoffen koennen, aber er ist eingeknickt. Dicke Sprueche, nichts dahinter und er hatte die Chance das wirklich auszufechten, stand ihm doch ein grosser Konzern im Ruecken, nun hoffen wir natuerlich alle auf den Grafen Chokolo, ob dieser auch so wenig Rueckrat zeigt? Ich glaube es ja nicht. Mehr…

Geschichten einer Personensuchmaschine: Yasni

8. Februar 2011 15 Kommentare

Ein Bekannter von mir bloggte heute ueber Personensuchmaschinen wie Yasni und 123people und ueber sein Rechtsempfinden und die schlechten Moeglichkeiten seine Daten von derartigen Seiten loeschen zu lassen, eigentlich bin ich nicht seiner Meinung, aber fangen wir einfach einmal an:

Personensuchmaschinen wie Yasni oder 123people sammeln Daten über meine Personen und führen diese Zusammen, was nach meinem Rechtsempfinden unter anderem gegen einige Datenschutzrichtlinien verstossen:…

Hier liegt unimatrix leider nur fast richtig, denn diese Suchmaschinen haben sich rechtlich abgesichert, Interessant aber die boese Behauptung das Yasni sammelt, dazu kommen wir gleich, weiterhin bloggt unimatrix: Mehr…

Expertenattrappe Tobias Schroedel bei SternTV

13. Januar 2011 3 Kommentare

Gestern bei meiner Lieblingsserie, TrueBlood, welche ich mir angeschaut habe (auf original DVD!) bekam ich eine Nachricht von einer Bekannten, auf SternTV ist gerade ein Bericht ueber Hacker, koennen die echt so einfach in meinen Studi Account einbrechen und meine Daten bzw mein Konto klauen?
Oh je, da ist sie wieder, die Panikmache ueber die boesen Hacker, also das getan was ich immer tue, erst einmal fuer Aufklaerung gesorgt und den Unterschied erklaert zwischen Hackern und Cracker und wie sowas zu Stande kommt. Schnell kam die naechste Frage: Wieso habe ich keinen Virenscanner, ich brauche sowas doch und eine Firewall auch, hier spricht gerade ein „Hacker“ und „Sicherheitsexperte“. Mehr…

Apple, der iPod und ich… *update*

16. Dezember 2010 Keine Kommentare

Ja nun kann ich ganz mitreden, wie man weiss ja sicherlich kein Apple Fan und kann diesen ganzen Hype um den Muell der dort gebaut wird nicht verstehen, sicherlich hatte Apple damals als PPC (Bsp. fuer Videoschnitt und Grafikbearbeitung) seine Daseinsberechtigung doch mitlerweile mit Intel Inside ja wohl kaum noch, aber nun zum Thema, es ist Weihnachten und t4c hat ein Geschenk erreicht, ein tolles Geraet aus dem Hause Apple, ich habe nun einen iPod Shuffle.
Grosse Freude… Mehr…

CDU-Politiker Axel E. Fischer gegen Pseudonyme

18. November 2010 Keine Kommentare

Die Diskussion ist ja nun schon etwas aelter jedoch wurde ich von meinem guten Freund Mike gebeten das ich doch auch einmal meine Meinung zu Fischers merkbefreiten Aussage abliefern sollte und naja das tue ich nun einfach mal, fangen wir jedoch von vorne an.
Der Politiker Fischer moechte ein Ende der Pseudonymisierung im Internet erreichen, es kann schliesslich nicht sein das man sich im Internet mit Fantasienamen eigene Identitaeten schafft und hier womoeglich noch zu irgendwelchen Themen Stellung nimmt.

Für den demokratischen Entscheidungsprozess sei es wesentlich, „dass man mit offenem Visier kämpft, also seinen Klarnamen nennt“, sagte Fischer. Dabei sei der neue Mehr…

Crapplejailbreak im vorbeisurfen

3. August 2010 Keine Kommentare

In aller Munde ist seit Sonntag wohl die Webseite Jailbreakme.com, was sich dahinter verbirgt?
Vorerst die Moeglichkeit sein Crapple Device beim Surfen auf die Seite ganz einfach zu Jailbreaken, was in den USA nun ja auch voellig legal ist.
Ein Click auf den Slider im Iphonesafaribrowser oder eben einem anderen Device, ermoeglicht es einem unbedarften Steve Jobs Juenger nun also das Geraet ohne grosses zutun zu Jailbreaken und endlich aus dem Appleknast befreit zu sein. Und alle so Yeah!
Soweit so gut, alles toll, alles bunt, alle haben sich lieb…
… doch ist das wirklich so? Fuer mich heisst die Seite einfach nur noch eins, Surfen mit dem IPad oder IPhone ist aktuell nicht moeglich es sei es ist einem egal wem die Daten auf dem Geraet gehoeren oder wer noch alles mitlesen und senden darf mit dem Geraet, denn es ist der dunklen Seite der Macht jederzeit moeglich die Webseite nachzubauen und eigenen Schadcode zu basteln um so Crappledevices im vorbeisurfen zu uebernehmen.
Wirklich nett die Geschichte, basierend ist der Hack fuer alle die es nicht wissen, via Schwachstelle in der Verarbeitung von PDF Dateien in iOS.

Offener Brief an Frau Eva Herman

28. Juli 2010 1 Kommentar

Hamburg, 27. Juli 2010

Offener Brief an Frau Eva Herman

Sehr geehrte Frau Herman,

mit Bestürzen mussten wir Ihren jüngsten Bericht „Sex- und Drogenorgie Loveparade: Zahlreiche Tote bei Sodom und Gomorrha in Duisburg“, erschienen über „Kopp“, zur Kenntnis nehmen.
Es ist uns vollkommen unverständlich, dass solch ein Artikel überhaupt ein Medium findet, um in diesem Maße verbreitet zu werden.
Ihr gesamter Artikel ist voll unüberlegter Gedankenergüsse. Sie verallgemeinern, verurteilen alle Fans eines Musikgenres als Drogenjunkies und nehmen sich das Recht heraus, Musik nach Ihren Wünschen definieren zu wollen, wobei wir doch alle wissen, dass genau diese kulturelle Einheit, wie im übrigen auch alle anderen kulturellen Bereiche, stark vom persönlichen Geschmack eines Individuums abhängen. Diese Tatsache sollten auch Sie respektieren und nicht versuchen, Ihre persönliche Meinung als Faktum darzustellen – denn Ihre Meinung ist absolut weltfremd, ungeheuerlich befremdend und ein Affront den Menschen gegenüber, die auch einmal über den eigenen Tellerrand hinausschauen, sich mit dieser Musik identifizieren können und wollen, mit und von ihr leben, die kulturelle Landschaft erweitern und dieses auch gerne nach außen tragen.
Ihre weltfremden Ansichten sind für uns weder nachvollziehbar noch verständlich und es ist wirklich bedauerlich, dass Sie sich diesem Genre nicht öffnen wollen oder können. Unverständlich ist auch, dass Sie eine Plattform gefunden haben, um Ihre fragwürdigen Ansichten der breiten Masse präsentieren zu können.
Wir haben uns zusammengeschlossen, um unseren Unmut über Ihren Artikel und Ihre Ansichten zu äußern und wollen Sie hiermit auffordern, Ihren Äußerungen zurückzuziehen und sich öffentlich für diese Verallgemeinerung zu entschuldigen.

Im Folgenden heißt dies für uns:
-Sie entschuldigen sich umgehend und öffentlich für Ihre Äußerungen in Bezug auf die Pauschalisierungen der Allgemeinheit ( Wir sind individuell )!
-Sie werden in der öffentlichen Entschuldigung anführen, dass Menschen nicht einfach über einen Kamm zu scheren sind und Sie in Ihrem Artikel dies leider nicht beachtet haben
-Sie werden in Ihrer Entschuldigung anführen, dass Sie sich zu Unrecht das Recht eingeräumt haben, über andere Menschen zu urteilen, die Sie nicht kennen.
-Sie werden die entsprechende Tantiemen, bzw. jegliches Einkommen, welches im Zusammenhang mit diesem Hintergrundbericht steht, an eine soziale Einrichtung spenden, dabei darf diese in keinem Zusammenhang mit Ihnen stehen und Sie werden mit UNS Rücksprache darüber halten, an wen diese Spenden gehen. Dies muss notariell beglaubigt werden!

Vielleicht haben Sie inzwischen selbst bemerkt, dass Ihr Bericht weitab der Wahrheit ist und die einzig richtige Konsequenz eine Richtigstellung und vor allem eine Entschuldigung (vor allem an die Freunde und Angehörigen der Opfer) wäre.

Wir behalten uns im Weiteren rechtliche Schritte gegen Sie vor, Grundlage hierfür wird der § 130 Absatz 1 des StGB sein.

Den Tatbestand einer Volksverhetzung definiert § 130 Absatz 1 des Strafgesetzbuchs:
Wer in einer Weise, die geeignet ist, den öffentlichen Frieden zu stören,
1. zum Hass gegen Teile der Bevölkerung aufstachelt oder zu Gewalt- oder Willkürmaßnahmen gegen sie auffordert oder
2. die Menschenwürde anderer dadurch angreift, dass er Teile der Bevölkerung beschimpft, böswillig verächtlich macht oder verleumdet, wird mit Freiheitsstrafe von drei Monaten bis zu fünf Jahren bestraft.

Hochachtungsvoll

NETZ GEGEN EVA HERMAN
V.i.S.d.P.R.:
Manuel Turobin
Kontakt: manuel.t2909@web.de

Links: Netz gegen Eva Herman Facebookpage