-
Jabber mit PEP
Dank der Hilfe unseres Kunden Fabian Fingerle unterstützt der Jabber-Server von schokokeks.org nun PEP. Fabian schreibt dazu:
»Etwas Zeit ist vergangen seitdem schokokeks.org auf ejabberd 2.0, welcher PEP-Support bietet, umgestiegen ist. Was bietet PEP und was hat PubSub für einen Nutzen?
PubSub ist im Allgemeinen eine Möglichkeit Informationen zentral zu veröffentlichen. Nutzer, die sich für bestimmte Dinge interessieren können einen solchen PubSub-Node, ähnlich RSS/Atom-Feed abbonieren und werden über neue Informationen auf dem laufenden gehalten. PEP (Personal Eventing via Pubsub) ist dabei das i-Tüpfelchen für PubSub, da es ermöglicht ändernde Meldungen wie aktuell laufender Musiktitel, Stimmung etc. via PubSub zu versenden.Mir hat dieses Feature auf schokokeks.org gefehlt, weswegen ich mich sehr gefreut habe schokokeks.org dabei zu helfen dieses zu implementieren.«
-
Neues Zertifikat mit Firmennamen
Tags:Wir haben heute das Zertifikat für die Webseiten von schokokeks.org erneuert. Alle Webseiten sind über https erreichbar, die Seiten, die einen Login erfordern (Konfigurationsinterface, Webmail, Wiki), sind ausschließlich SSL-geschützt erreichbar.
Wir haben nun bei der freien Zertifizierungsstelle CAcert eine sogenannte Organisations-Assurance durchgeführt, d. h. die Echtheit unserer Firma wurde überprüft. Damit ist im Zertifikat auch unser Firmenname schokokeks.org GbR eingetragen (bislang war dieses Feld leer).
Um CAcert-Zertifikate automatisch zu akzeptieren, muss man die Root-Zertifikate im Browser einfügen.
-
SSL/SSH-Keys von Debian-basierten Systemen kompromittiert
Eine Verwundbarkeit in den OpenSSL-Paketen von Debian hat gravierende Auswirkungen. Diverse Schlüssel, die mit diesem Paket erstellt wurden, sind angreifbar.
https://nvd.nist.gov/vuln/detail/CVE-2008-0166
Auf unseren eigenen Systemen benutzen wir ausschließlich Gentoo Linux, insofern sind unsere Server-Keys nicht betroffen. Zur Sicherheit unsere Kunden haben wir alle SSL-Server-Zertifikate und alle SSH-Publickeys (in authorized_keys) überprüft.
Wir fanden keine unsicheren SSL-Zertifikate. Einige wenige SSH-Keys waren verwundbar, wir haben diese deaktiviert und die entsprechenden Nutzer informiert.
-
Presseinformation: schokokeks.org setzt für SSL-Zertifikate auf SNI
Ein gängiges Problem von geschützten https-Verbindungen ist, dass üblicherweise pro IP-Adresse nur ein Zertifikat vergeben werden kann. Daher ist es bei den meisten Shared-Hosting-Angeboten nicht möglich, https-Verbindungen korrekt zu nutzen, da das zugehörige Zertifikat nicht passend ist.
Hierfür existiert die SSL-Erweiterung SNI (Server Name Indication), welche auf unterschiedlichen virtuellen Hosts unterschiedliche Zertifikate ermöglicht. SNI wird bereits von den gängigen Browsern (Firefox, Opera, IE ab version 7) unterstützt. schokokeks.org bietet als einer der ersten Shared-Hosting-Provider seinen Kunden SNI an.
schokokeks.org selbst setzt für seine Seiten Zertifikate der freien Zertifizierungsstelle CAcert.org ein, jedoch können unabhängig davon auch eigene, extern gekaufte Zertifikate eingesetzt werden.
Einige Hintergrundinformationen über SNI haben wir in unserem Wiki bereitgestellt:
https://wiki.schokokeks.org/SNI -
Local Root Exploit im Linux-Kernel
Heute früh ging die Meldung über alle einschlägigen Nachrichtenseiten: Ein lokaler Root-Exploit für den Linux-Kernel ist im Umlauf (heise-Meldung hierzu).
Leider gestaltete sich das Update für uns nicht ganz trivial. Wir setzen grsecurity ein, welches für 2.6.24 noch nicht zur Verfügung steht. Für 2.6.23 existiert ein grsecurity-patch, welcher jedoch auf Kernel 2.6.23.16 (wo o. g. Exploit gefixt ist) nicht funktioniert.
Nun läuft folgende Kombination:
- Linux 2.6.23.14
- grsecurity-Patch grsecurity-2.1.11-2.6.23.14-200801231800.patch
- Relevante Änderungen aus 2.6.23.15 in splice.c.
- Relevante Änderungen aus 2.6.23.16 in splice.c.
Seiten
