Herzlich willkommen!

Hier finden Sie Workshops und Informationen rund um Linux, Details zum Internet und Sie können chatten. Daneben stelle ich nützliche Tools vor, um sich durch die Windows-Welt zu schlagen. Außerdem können Sie einen Newsletter abonnieren und sich kleinere Programme und Skripte für Linux und auch Windows herunterladen.

27. Oktober 2014: Am 15. November 2014 halte ich für das Fedora Project einen Workshop zum RPM-Paketbau - in Phnom Penh, der Hauptstadt Kambodschas. Der mehrstündige Workshop wird an der Development Innovations Cambodia, einem Projekt gefördert von der Behörde der Vereinigten Staaten für internationale Entwicklung (kurz: USAID), stattfinden. So toll sich das ganze anhört, so ernüchternd ist es zugleich: Ich werde nicht nach Kambodscha reisen sondern der Workshop wird remote und interaktiv stattfinden, technisch soll es über ein Google Hangout gelöst werden. Ich bin sehr gespannt, denn auch für mich ist es das erste Mal einen so umfangreichen Workshop remote zu halten, wenngleich ich über das Thema an und für sich schon öfters referiert habe. Mein "RPM packaging workshop (Fedora)" ist überwiegend technisch orientiert und richtet sich an Einsteiger und Fortgeschrittene zum Bereitstellen von eigenen Programmen oder beliebter Software als RPM-Pakete. Natürlich werden typische Fehler und Probleme besprochen und geeignete Build-Umgebungen vorgestellt - das ganze wird durch ein Live-Packaging und praktische Übungen für die Teilnehmer abgerundet!

24. Oktober 2014: Heute morgen habe ich meine Entdeckung aus dem September 2014, dass die bereits älteren Schwachstellen CVE-2012-3414 und CVE-2013-2205 auf den Zarafa WebAccess anwendbar sind, koordiniert veröffentlicht. Die beiden Schwachstellen selbst wurden von Nathan Partlan und Neal Poole entdeckt und ermöglichen XSS bei der bekannten und relativ weit verbreiteten Flash-Datei SWFUpload. Glücklicherweise hat WordPress schon vor längerer Zeit die Initiative ergriffen und einen sicheren Fork von SWFUpload entwickelt. Was ich erschreckend finde ist, dass sich eine verwundbare Drittsoftware so lange unbemerkt halten kann - denn Zarafa ist vermutlich nicht die große Ausnahme. Viele Software-Projekte binden Drittsoftware ein ("Bundling") und liefern diese einfach mit aus - ohne regelmäßig auf Schwachstellen zu prüfen. Im konkreten Fall von Zarafa ist der Zarafa WebAccess seit Version 6.40.4, also seit der Existenz des Multi-Upload-Features, betroffen. In meinem Security Advisory 2014-0009 kann - neben technischen Details - nachgelesen werden wie sich die Verwundbarkeit des Zarafa WebAccess mit SWFUpload manuell beseitigen lässt.

15. Oktober 2014: Gestern Nachmittag ist bereits erstmals das Gerücht für eine Schwachstelle in SSLv3.0 aufgekommen und wurde heute früh bestätigt: Bodo Möller, Thai Duong und Krzysztof Kotowicz vom Google Security Team haben die Schwachstelle "POODLE" entdeckt und öffentlich bekannt gemacht. Dabei handelt es sich um einen Design-/Entwicklungsfehler im bald 18 Jahre alten SSLv3.0 selbst (der völlig plattform- und betriebssystemunabhängig ist). Die einzig sinnvolle Lösung zum aktuellen Zeitpunkt scheint das Deaktivieren von SSLv3.0 in den Serverdiensten wie dem Apache Webserver zu sein. Meist wird SSLv3.0 noch zusätzlich für Rückwärtskompatibilität zur Verfügung gestellt obwohl eigentlich alle halbwegs gängigen und nicht völlig veralteten Browser auch problemlos mit TLS klarkommen sollten. Interessanterweise ist die Schwachstelle derzeit nur auf HTTPS anwendbar trotzdem empfiehlt es sich meines Erachtens die Verwendung von SSLv3.0 in sämtlichen Diensten zu deaktivieren, da sich viele vergangenen Schwachstellen in der Verschlüsselung irgendwann auf alle Dienste haben anwenden lassen. Doch leider kann man SSLv3.0 nicht in allen Diensten dekonfigurieren...

21. September 2014: Nachdem ich nun seit längerer Zeit auch im Bereich IT-Sicherheit zugange bin und mehrere Schwachstellen in Software-Komponenten entdeckt habe, habe ich mich heute entschlossen den neuen Bereich "Security" zu meiner Webseite hinzuzufügen. Auf längere Sicht sollen sich dort Sicherheitsanalysen und Erklärungen zu bekannten Technologien bzw. Schwachstellen finden. Derzeit befinden sich in diesem neuen Bereich nur die fünf letzten öffentlich bekannten von mir entdeckten Software-Schwachstellen als Security Advisories. Drei weitere ältere von mir entdeckte Schwachstellen und zudem eine weitere neue Schwachstelle werden demnächst folgen - der neue Artikel jedoch erst wenn die Schwachstelle öffentlich werden bzw. sein soll.

19. September 2014: Angesprochen einem Vorsitzenden eines Vereins zur Förderung von technischen und naturwissenschaftlichen Bereichen bei Kindern und Jugendlichen bezüglich der Qualität eines SSL-Zertifikats über das wir uns vor einem knappen halben Jahr (kurz nach Heartbleed) unterhalten haben, habe ich mich entschlossen dem Verein ein solches SSL-Zertifikat als Spende anzubieten, da das bislang verwendete SSL-Zertifikat von StartSSL demnächst ausläuft. Denn gleichzeitig weiß ich, dass auch dort der Wunsch von StartSSL als Zertifizierungsstelle loszukommen gegeben ist - für mich auch gut nachvollziehbar, da das Geschäftsmodell von StartSSL wohl mitunter auf kostenpflichtigen Reissues von kostenlosen SSL-Zertifikaten aufbaut. Interessanterweise wurde mein Angebot für ein kostenloses SSL-Zertifikat einer anderen Certificate Authority dann von einem anderen Vorsitzenden abgelehnt - mit der Begründung, dass man gerne alle Zertifikate von der gleichen CA hätte. Ich kann das zwar technisch irgendwo nachvollziehen, aber...wow, wie man als gemeinnütziger Verein so wählerisch sein kann?! Nun gut, wer nicht will, der hat gehabt... ;-)