Oktober 2014
Hier finden Sie Nachrichten und Einträge aus dem Oktober 2014, die sich einmal als News direkt auf der Homepage befunden haben.
12. Oktober 2014: Wie ich heute erfahren habe ist Friedrich Streich, Zeichner der Maus aus der Sendung mit der Maus, vor etwas mehr als einer Woche im Alter von 80 Jahren in München verstorben. Vor vielen Jahren hat der WDR (vermutlich als Wiederholung) eine Sachgeschichte ausgestrahlt in der gezeigt wurde wie ein typischer Maus-Spot entsteht - damals noch ganz ohne Computer, dafür mit viel Zeit, Farben und Folien. Diese Sachgeschichte wurde übrigens heute in der aktuellen Sendung erneut wiederholt und gleichzeitig wurde gezeigt und erklärt wie neuere Maus-Spots bzw. Maus-Spiele für die Maus-Webseite entwickelt und als Flash-Spiel animiert werden - natürlich mit sehr viel Computer-Einsatz. Was bislang nur die wenigsten wussten: Vor etwa 15 Jahren habe ich die Maus als Kamerafrau gezeichnet und an den Maus-Club gesendet...meine Zeichnung war sogar wohl gut genug um aus den sicherlich hunderten von Einsendungen pro Woche herauszustechen, denn sie wurde im Fernsehen gezeigt und ich wurde namentlich genannt! Abschließend bleibt nur zu sagen: Ruhe in Frieden, lieber Maus-Zeichner.
15. Oktober 2014: Gestern Nachmittag ist bereits erstmals das Gerücht für eine Schwachstelle in SSLv3.0 aufgekommen und wurde heute früh bestätigt: Bodo Möller, Thai Duong und Krzysztof Kotowicz vom Google Security Team haben die Schwachstelle "POODLE" entdeckt und öffentlich bekannt gemacht. Dabei handelt es sich um einen Design-/Entwicklungsfehler im bald 18 Jahre alten SSLv3.0 selbst (der völlig plattform- und betriebssystemunabhängig ist). Die einzig sinnvolle Lösung zum aktuellen Zeitpunkt scheint das Deaktivieren von SSLv3.0 in den Serverdiensten wie dem Apache Webserver zu sein. Meist wird SSLv3.0 noch zusätzlich für Rückwärtskompatibilität zur Verfügung gestellt obwohl eigentlich alle halbwegs gängigen und nicht völlig veralteten Browser auch problemlos mit TLS klarkommen sollten. Interessanterweise ist die Schwachstelle derzeit nur auf HTTPS anwendbar trotzdem empfiehlt es sich meines Erachtens die Verwendung von SSLv3.0 in sämtlichen Diensten zu deaktivieren, da sich viele vergangenen Schwachstellen in der Verschlüsselung irgendwann auf alle Dienste haben anwenden lassen. Doch leider kann man SSLv3.0 nicht in allen Diensten dekonfigurieren...
16. Oktober 2014: Wie heute bekannt gegeben wurde ist die Fusion der Open Source Business Alliance (aus Stuttgart) mit der Open Source Business Foundation (aus Nürnberg) leider gescheitert. Maßgeblicher Grund dafür ist wohl gewesen, dass mindestens Teile des Vorstands der OSBF den Namen der Initiative "Deutsche Wolke" der OSBA als "strategisch falsch gewählt, aus Marketingsicht ungeeignet, international ausgrenzend und zu leicht hinsichtlich rechtsnationalem Gedankengut fehlinterpretierbar" halten. Gut, glücklich ist der Name meines Erachtens wirklich nicht. Andererseits ist es aus meiner Sicht nicht wirklich schade was die geplatzte Fusion betrifft: Jeder der beiden Vereine betreibt eine Plattform bzw. ein Forum für seine Mitglieder und versucht sich und die Mitglieder geschäftlich vorwärts zu bringen; aber ein Vorantreiben und Unterstützen von Open-Source-Projekten (der eigentlichen Grundlage) ist aus meiner Sicht jedoch leider kaum zu erkennen. Auch bei den selbstgesetzten Zielen der Vereine fehlt meines Erachtens Biss und Öffentlichkeitsarbeit - oder geht das alles spurlos an mir vorbei?
17. Oktober 2014: Auch wenn die Schwachstelle "POODLE" in SSLv3.0 derzeit nur HTTPS-Verbindungen betrifft empfehlen verschiedene Software-Hersteller und -Projekte zur Sicherheit SSLv3.0 in sämtlichen Diensten zu deaktiveren - kein Fehler wie ich finde. Leider ist das in der Praxis nicht bei allen Diensten möglich, so z.B. bei Zarafa: Den Wunsch zur Konfigurierbarkeit von SSL-/TLS-Protokollen und -Ciphers habe ich bereits im September 2013 geäußert. Ich habe dann selbst vor fast genau 7 Monaten exakt dafür einen Patch in meiner Freizeit entwickelt und bei Zarafa eingereicht. Unglücklicherweise wurde mein Patch aus verschiedenen Gründen bislang in kein Zarafa-Release aufgenommen - das soll aber mit Zarafa 7.2 dann der Fall sein. Mein Patch sorgt allerdings für ein kleines Problem für proprietäre Benutzer: Der Zarafa Client Connector unterstützt, auch wenn Änderungen geplant sind, derzeit nur SSLv3.0. Ich habe vorhin die Zarafa-RPMs in Fedora und EPEL aktualisiert und dabei den vorher erwähnten Patch und meinen nun bereits 6 Monate alten Patch für ECDHE-Unterstützung hinzugefügt.
18. Oktober 2014: Wie ich heute beim Update meines Systems auf Red Hat Enterprise Linux 6.6, das bereits am 14. Oktober 2014 veröffentlicht wurde, festgestellt habe, ist endlich mein Patch für PCSC-Lite zur Unterstützung des Chipkartenlesers "cyberJack® RFID standard" von REINER SCT für sicheres Online-Banking mittels HBCI bzw. FinTS auch in das RPM-Paket in RHEL eingeflossen und wird sogar in den RHEL 6.6 Technical Notes erwähnt! Technisch muss letztendlich einfach versucht werden das Kartenlesegerät zusätzlich über das libusb-Schema anzusprechen bevor abgebrochen werden darf. Damit wird endlich gut, was schon im Januar 2013 begonnen hat...
24. Oktober 2014: Heute morgen habe ich meine Entdeckung aus dem September 2014, dass die bereits älteren Schwachstellen CVE-2012-3414 und CVE-2013-2205 auf den Zarafa WebAccess anwendbar sind, koordiniert veröffentlicht. Die beiden Schwachstellen selbst wurden von Nathan Partlan und Neal Poole entdeckt und ermöglichen XSS bei der bekannten und relativ weit verbreiteten Flash-Datei SWFUpload. Glücklicherweise hat WordPress schon vor längerer Zeit die Initiative ergriffen und einen sicheren Fork von SWFUpload entwickelt. Was ich erschreckend finde ist, dass sich eine verwundbare Drittsoftware so lange unbemerkt halten kann - denn Zarafa ist vermutlich nicht die große Ausnahme. Viele Software-Projekte binden Drittsoftware ein ("Bundling") und liefern diese einfach mit aus - ohne regelmäßig auf Schwachstellen zu prüfen. Im konkreten Fall von Zarafa ist der Zarafa WebAccess seit Version 6.40.4, also seit der Existenz des Multi-Upload-Features, betroffen. In meinem Security Advisory 2014-0009 kann - neben technischen Details - nachgelesen werden wie sich die Verwundbarkeit des Zarafa WebAccess mit SWFUpload manuell beseitigen lässt.
27. Oktober 2014: Am 15. November 2014 halte ich für das Fedora Project einen Workshop zum RPM-Paketbau - in Phnom Penh, der Hauptstadt Kambodschas. Der mehrstündige Workshop wird an der Development Innovations Cambodia, einem Projekt gefördert von der Behörde der Vereinigten Staaten für internationale Entwicklung (kurz: USAID), stattfinden. So toll sich das ganze anhört, so ernüchternd ist es zugleich: Ich werde nicht nach Kambodscha reisen sondern der Workshop wird remote und interaktiv stattfinden, technisch soll es über ein Google Hangout gelöst werden. Ich bin sehr gespannt, denn auch für mich ist es das erste Mal einen so umfangreichen Workshop remote zu halten, wenngleich ich über das Thema an und für sich schon öfters referiert habe. Mein "RPM packaging workshop (Fedora)" ist überwiegend technisch orientiert und richtet sich an Einsteiger und Fortgeschrittene zum Bereitstellen von eigenen Programmen oder beliebter Software als RPM-Pakete. Natürlich werden typische Fehler und Probleme besprochen und geeignete Build-Umgebungen vorgestellt - das ganze wird durch ein Live-Packaging und praktische Übungen für die Teilnehmer abgerundet!
30. Oktober 2014: Morgen geht es für mich endlich einmal wieder auf die FSCONS nach Göteborg in Schweden. Ich habe die jährlich stattfindende Veranstaltung das letzte Mal vor nun 3 Jahren besucht und es in den letzten beiden Jahren leider aus verschiedenen Gründen nicht geschafft. Das Free Society Conference and Nordic Summit (kurz: FSCONS) ist die größte Veranstaltung der skandinavischen Länder für freie Kultur, freie Software und eine freie Gesellschaft. Es handelt sich um eine Konferenz von und für die Menschen, die daran arbeiten, unsere Zukunft zu verändern - und hat 250-300 Teilnehmer, vor allem aus Nordeuropa. Gemeinsam mit Henrik Nordström werde ich dort das Fedora Project mit einem kleinen Stand vertreten, Fragen der Besucher beantworten und bestehenden Fedora-Benutzern bei ihren Problemen weiterhelfen. Natürlich freue ich mich auch sehr darauf bestimmte Leute wieder einmal zu treffen - insbesondere diejenigen, die ich das letzte Mal vor 3 Jahren getroffen habe und üblicherweise im hohen Norden zu Hause sind.