Archiv für die ‘Sicherheitspatches’ Kategorie

Cebit 2010 – GTChat-Developer.de – Treffen

27 Februar 2010

Im Rahmen der diesjährigen Cebit und zu Bildungszwecken würden wir uns freuen euch auch auf der Cebit begrüßen zu dürfen.

Wer ebenfalls die Cebit besucht, darf sich gern bei uns melden.

An der Diskussion könnt ihr hier teilnehmen und ebenfalls eure Teilnahme bestätigen!

Internet Explorer Sicherheitsupdate (Update)

22 Januar 2010

Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im Windows 7 standardmäßig enthaltenen Windows Internet Explorer 8 schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (Englisch bzw. Deutsch) sowie Sicherheitswarnung vom 15.01.2010 (Chinesischer Angriff auf Google). Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.

Internet Explorer 5.01 SP4 Windows 2000 mit SP4 Microsoft
Internet Explorer 6 SP1 Windows 2000 mit SP4 Microsoft
Internet Explorer 6 Windows XP mit SP2/SP3 Microsoft
Windows XP x64 mit SP2 Microsoft
Windows Server 2003 mit SP2 Microsoft
Windows Server 2003 x64 mit SP2 Microsoft
Windows Server 2003 mit SP2 für Itanium Microsoft
Internet Explorer 7 Windows XP SP2/SP3 Microsoft
Windows XP x64 SP2 Microsoft
Windows Server 2003 mit SP2 Microsoft
Windows Server 2003 x64 mit SP2 Microsoft
Windows Server 2003 mit SP2 für Itanium Microsoft
Windows Vista Microsoft
Windows Vista x64 Microsoft
Windows Server 2008 Microsoft
Windows Server 2008 x64 Microsoft
Windows Server 2008 für Itanium Microsoft
Internet Explorer 8 Windows XP mit SP2/SP3 Microsoft
Windows XP x64 mit SP2 Microsoft
Windows Server 2003 mit SP2 Microsoft
Windows Server 2003 x64 mit SP2 Microsoft
Windows Vista Microsoft
Windows Vista x64 Microsoft
Windows Server 2008 Microsoft
Windows Server 2008 x64 Microsoft
Windows 7 Microsoft
Windows 7 x64 Microsoft
Windows 2008 R2 x64 Microsoft
Windows 2008 R2 für Itanium Microsoft

MacOS schmackhaft wie Tacos

8 Juni 2009

Guten Tag,

nach der Benutzung von Microsofts Windows XP stieg ich auf das neue Windows Vista um, ich dachte die Bugs waeren eine Sache der unsachgemaessen Benutzung. Als sich dieser Verdacht als faelschlich herausstellte, und der Explorer vor Erscheinen des SP1 ununterbrochen aufhing, war mir klar, dass ich was anderes will. Nun, all zu gross war die Auswahl fuer mich nicht, allzu viel Geld hatte ich nach dem Erwerb von Vista fuer Meinen PC nicht. Ich wechselte also auf Linux. Im Internet findet man relativ einfach Distri-Flame-Threads, in denen alle Religionen, aehm, ich meine Distributionen ;) , hochgehalten werden. Die meisten Argumente sprachen damals fuer Debian bzw Ubuntu, ich entschied mich kurzer Hand fuer Ubuntu, damals in der Version 7.04 ‘Feisty Fawn’. Ich war vollauf zufrieden, nachdem meine Grafikkarte nach etwa 2 Tagen endlich einwandfrei funktionierte, stellte ich mich weiteren Herausforderungen, bis ich mich spaeter Entschied einen Homeserver anzuschaffen (inzwischen brauchte ich fuer meine Schule ein Notebook, damals entschied ich mich fuer ein Dell einen Teil der Dell-Odyssee kann man hier nachlesen. Das dort angesagte Basteln habe ich nicht erfuellt. Ich lag Dell auf den Ohren, bis sie mir mein Geld, fuer das vor 1 Jahr, waehrend dem ich erstklassigen Support beanspruchen durfte, gekaufte Notebook, komplett erstatteten. In diesem Punkt auch ein riesen Lob an Dell fuer ihren Support. Nun, das Geld von Dell hatte ich 100%ig zurueck bekommen. Doch ein Notebook fuer die Schule musste sein. Zu dieser Zeit bastelte ein Freund von mir an MacBook Alus rum, motzte sie auf, und verkaufte sie weiter. So kam ich auch an mein MacBook Alu 13,3″, 4GB DDR3 RAM (von Hynix!) mit IntelCore2Duo @ 2,4 GHz. Die Hardware ist ein Traum, Glas und Alu, sehr stabil, maechtige Leistung … aber gut, Apples Hardware ist denke ich bekannt genug. :)

Nun endlich zum eigentlichen Thema. MacOS. Ich durfte es von Anfang an in der Version 10.5 ‘Leopard’ geniessen, mittlerer Weile hat man es auf 10.5.7 hochgepusht. Der bekannte Guerilla-Style mit dem Fisheye-Menue bilden natuerlich ein optisches Schmankerl. Von der Benutzung her ist es aeusserst intuitiv benutzbar. Noch in den ersten 5 Minuten konnte ich alles tun, was ich wollte. Die VPN lief, das Netzwerkzeugs war komplett konfiguriert, sodass ich aus der Schule aus alles tun kann. Ich konnte mich auch sofort mit den Windows-Shares im Netzwerk verbinden. Alles wonder bra. Leider kann ich auf Grund eines mysterioesen Authentifizierungsfehler, der nicht weiter vom Server erlaeutert wird, nicht drucken. – Ich hab’ da so einen proprietaeren Gedanken … njo.

Dank sYnie wusste ich auch relativ bald, welche Programme ich unbedingt brauche, hier ist seine Liste, teils durch mich erweitert, bzw schon nativ enthalten:

  • Mail *
  • Opera
  • iCal *
  • iTunes *
  • Adium (Multimessenger)
  • Skype
  • TeamViewer
  • Terminal *
  • Cyberduck (schlanker und simpler FTP-Client)
  • DigitalColor  (Color Picker) *
  • VirtualBox, VMWare Fusion oder das kostenpflichtige Parallels Desktop
  • OpenOffice
  • StuffIt (Archivierung, Komprimierung; kostenpflichtig)
  • iStumbler (WLAN Tool)
  • EyeTV (kostenpflichtig, unterstuetzt viele TerraTec Produkte, bei mir DVB-T und DVB-S)
  • AngryIP-Scanner (Netzwerk-Tool)
  • VLC
  • TeamSpeex (TeamSpeak-Client)
  • NTFS-3G (fuer NTFS-Support)
  • MacFUSE
  • GPGFileTool
  • GPG Schluesselbund
  • GPGPreferences
  • MacGPG

Das sollten alle sein, inkl. PGP-Support fuer das natives Mail-Programm ‘Mail’. Das Sternchen bedeutet, dass es sich um ein natives Programm handelt. Zusaetzlich kann man auch noch Mono fuer .NET Applikationen nutzen (inkl. MonoDevelop) wobei ich hierfuer lieber ein virtuelles Windows nutze.

MacOS war ziemlich erkundet, was  sollte nun anderes uebrig bleiben, als die beherbergten Funktionen zu testen. Der Punkt Sicherheit in den Systemeinstellungen laechelte mich nun zu sehr an. Ich konnte nicht anders, als FileVault ohne viel Recherche zu nutzen. Heute entschloss ich mich dieses Ungetuem wieder zu deaktivieren, was mich mehrere Stunden aufwand kostete. Ich moechte diese diabolische Prozedur niemandem zumuten, deswegen gebe ich den Tipp, es nicht zu nutzen. Kurz: Es werden ausschliesslich die /User/Foo Dateien verschluesselt, was das Ansprechen natuerlich etwas verlangsamt, fuer mich jedoch nicht merklich. Dass jedoch die duenne 120GB SSD ploetzlich voll war, gefiel mir weniger. Das Deaktivieren brachte mir ca 15GB wieder. Zudem spinnt die Festpaltte ein wenig, manchmal bootete MacOS nicht richtig von dem FileVault Device, oder es wurde kein Speicherplatz freigegeben, wenn ich etwas geloescht habe, was das Deaktivieren, das genauso viel Freiplatz benoetigt, wie /User/Foo braucht, erschwert, vorallem, wenn die Platte von FileVault verdichtet wird, und man es deswegen deaktivieren moechte. – Wurde nun wohl doch etwas laenger. Es war im Affekt, pardon ;D

Alles in allem ist MacOS ein sehr empfehlenswertes OS, auch deren Hardware ist top!, wobei ich die applesche Firmenphilosophie nicht unbedingt Teile.

Register-Bugfix (Profilfelder auf einen bestimmten Wert setzen)

2 Januar 2009

Bisher war es möglich, via chat.pl?action=register&feld=wert Profilfelder zu verändern. Dies stellte eine ungeheure Sicherheitslücke dar.

Ziemlich am Ende (VOR $main->adduser(\%user);) fügt man dann für jedes zu schützende Profilfeld ein:
$user{feld} = '';
Hierbei ist feld durch das jeweilige Profilfeld zu ersetzen.

Nach dem Einbau sollte der Bug behoben sein.

Massenregistrierung

20 Oktober 2008

Dieses Sicherheitsupdate, schließt den Zugriff von so genannten Registerexploits auf den Chat.
Die Massenregistrierung im Chat durch Registrierungsbots ist somit nicht mehr möglich.

Vorgehensweise:

1. Suchen Sie in der Datei “Settings.dat” nach:


default => {

fügen Sie dannach ein:

last_ip =>'',
IPReg =>'',

2. Suchen Sie in der Datei “german.lng” nach:

},};

fügen Sie davor ein:

error_IPs =>'Sie können sich täglich nur einen Nickname registrieren!',
error_IPfalse =>'Sie konnten nicht registriert werden.
Ihre IP-Adresse konnte nicht authentifiziert werden.',

3. Öffnen Sie die Datei “Templates_de/register.html” und fügen sie an beliebiger Stelle ein:

<script type="text/javascript" src="{GET|$settings.url.htmlurl}/ip.php"></script>

4. Erstellen Sie die Datei in Ihrem “ip.php” WWW/HTML-Verzeichnis und fügen mit folgendem Inhalt:

document.write('<input type="text" name="last_ip" value="<?=$_SERVER['REMOTE_ADDR'];?>" readonly />');

5. Bearbeiten Sie jetzt die Datei “Register.pm” in Ihrem GTChat Sources Verzeichnis und Suchen Sie nach:


my %user = %{$main->};

Fügen Sie dannach ein:

if($main-> == $main->){$main->fatal_error('IPs');}
$main->fatal_error('IPfalse') if($main-> eq '');

Suchen Sie weiter nach:

$user = $main->toHTML($user);

Fügen Sie dannach ein:

$main-> = $user;
$main-> = $user;

Schlusswort:
Wenn Sie sich genau an diese Anleitung gehalten haben, ist eine Massenregistrierung nun nicht mehr möglich.

Bitte beachten Sie dass Sie diese Anleitung nur bei der Unverschlüsselten Version des GTChat verwenden können.

Dieses Sicherheitsupdate wurde entwickelt von Sven Schmidt aka. Condor.

Support ausschliesslich auf GTChat-Developer.de