März 2015

Hier finden Sie Nachrichten und Einträge aus dem März 2015, die sich einmal als News direkt auf der Homepage befunden haben.

3. März 2015: Heute Abend hat mir der "Director of Technical Services" der ICANN, Kim Davies, eine E-Mail geschrieben - und zwar eine Antwort auf meine initiale E-Mail an die IANA am vergangenen Wochenende. Bei meinen Arbeiten an GNU jwhois habe ich entdeckt, dass der WHOIS-Server whois.iana.org für 100.64.0.0/10 eine falsche Antwort zurückliefert: Statt einem Verweis auf RFC 6598, also einen sogenannten "special-use IPv4 address block", wird ein Verweis auf die ARIN ausgegeben bzw. es findet eine Weiterleitung zum WHOIS-Server der ARIN statt. Zwar meldet der WHOIS-Server der ARIN zurück, dass es sich um einen besonderen IPv4-Bereich handelt, jedoch handelt es sich dabei meines Erachtes um einen Fehler der von der IANA korrigiert werden sollte - und Kim Davies stimmt mir dabei zu. Die IANA setzt übrigens keinen Open-Source-WHOIS-Server ein sondern leider eine (proprietäre) Eigenentwicklung da man wohl Daten aus vielen verschiedenen internen Quellen ermittelt und für die Ausgabe im WHOIS aggregiert.

5. März 2015: Am heutigen Nachmittag ist die Version 7.2.0 der Zarafa Collaboration Platform (ZCP) veröffentlicht worden. Zu den wichtigsten Neuerungen zählen die Xapian-Engine für die Suche, offizielle Unterstützung von MariaDB, eine neue Abstraktionsschicht für MAPI in Python sowie eine Überarbeitung im Bereich SSL/TLS (größtenteils basierend auf meinen Patches). Dankend erwähnt werde ich leider von Zarafa gar nirgends, dafür hat mich der CEO von Zarafa B.V., Brian Joseph, vorgestern angerufen und sich für meine Community-Contributions und insbesondere für meine SSL-Patches bedankt. Weiterhin nicht eingeflossen ist allerdings mein SSL-Patch für Perfect Forward Secrecy (PFS) bzw. Elliptic Curve Cryptography (ECC). Ansonsten fehlt auch Zarafa 7.2 weiterhin die IPv6-Unterstützung und es wird die ältere Zarafa WebApp 2.0.1-47791 ausgeliefert während bereits im letzten Beta-Release die neuere Zarafa WebApp 2.0.2-47834 enthalten war?! Verwundbar für die von mir entdeckten Schwachstellen CVE-2014-5447 und CVE-2014-5449 sind jedoch leider alle Versionen der Zarafa WebApp weiterhin.

24. März 2015: Der heutige Absturz des Germanwings-Flug 9525 mit einem Airbus A320 über den französischen Alpen hat mich ehrlich gesagt sehr erschreckt. Germanwings, eine Lufthansa-Tochter, habe ich bislang für eine sehr zuverlässige Fluggesellschaft gehalten - gerade auch im Hinblick auf die Lufthansa als Konzernmutter. Und im Unterschied zu mancher anderen (auch europäischen) Fluggesellschaft hat die Lufthansa (Neugründung 1953 nach dem 2. Weltkrieg) in ihrer über 50-jährigen Firmengeschichte bisher nur 8 Totalverluste mit insgesamt 150 Todesopfern zu beklagen gehabt. Die Germanwings ist bislang in ihrer über 10-jährigen Firmengeschichte sogar ohne jegliche Unfälle geflogen. Ich bin in den letzten Jahren schon einige nationale und europäische Kurz- und Mittelstrecken mit der Germanwings mitgeflogen und mein diesjähriger Sommerurlaub ist wieder ein Germanwings-Flug - und auch wenn ich fliegen weiterhin als sicheres Transportmittel erachte, lässt es mindestens bis zur Klärung der Ursache ein ungutes Gefühl bei mir. Bleibt nur zu hoffen, dass bei der Wartung nicht geschlampert wurde...

25. März 2015: Nach diversen E-Mails bezüglich der Aktualisierung von Zarafa in Fedora und EPEL auf die Anfang des Monats erschienene Version 7.2.0 habe ich heute eine lange E-Mail an die Mailingliste gesendet: Es wird kein Update geben - jedenfalls nicht durch mich. Ich habe die Pflege des Zarafa-Pakets in Fedora Rawhide bereits im Dezember 2014 eingestellt und werde die bestehenden Pakete in Fedora 21 und 20 noch bis zum Ende der jeweiligen Produktlebenszeit (EOL) pflegen. Die Pakete in EPEL 5, 6 und 7 werde ich mindestens bis zum Ende der Produktlebenszeit von Fedora 21 pflegen. Danach dürfte es auf eine Entfernung der Pakete hinauslaufen, denn eine Pflege ohne Upstream-Support wird auf Dauer sehr schwierig werden. Sofern sich ein neuer Paket-Maintainer für Zarafa in Fedora und EPEL finden sollte, werde ich diesen bis zu einem gewissen Grad gerne unterstützen und einarbeiten. Die zusätzlich in Zarafa 7.2 gebündelte Drittsoftware (vor allem in der WebApp) und die Anforderung für ein äußerst aktuelles gSOAP wird es aber einem eventuellen Nachfolger keineswegs leichter machen.

31. März 2015: Heute habe ich von Claus Aßmann, dem aktuellen Upstream-Maintainer von Sendmail, die Rückmeldung erhalten, dass mein Patch zur Gleichstellung von ::1 mit 127.0.0.1 in FEATURE(`block_bad_helo') in einer erweiteren Fassung in Sendmail 8.15.2 landen wird - nach immerhin 5 Jahren. Relevant wird das vor allem wenn localhost über /etc/hosts auf ::1 und 127.0.0.1 auflöst - was beispielsweise bei Red Hat Enterprise Linux bzw. CentOS 7 und aktuelleren Versionen von Fedora standardmäßig der Fall ist. Dann werden nämlich lokal per SMTP verschickte E-Mails von Sendmail mit bogus HELO name used: localhost.localdomain abgewiesen. Die meisten Benutzer von Sendmail in Fedora sollte das Problem aber die ganze Zeit nie wirklich betroffen haben, da ich meinen Patch bereits vor etwa 5 Jahren, kurz nach meiner Entdeckung des Problems, dem RPM-Paket von Sendmail hinzugefügt habe.