huschi.net

Heute zum 14.01.2011 wurde der "end of life", also die Einstellung des Supports, für die Version 11.1 bekannt gegeben.
Dies kam nicht wirklich überraschend, da der eigentliche EOL bereits für Ende Dezember angekündigt war.

Für Server-Besitzer mit dieser openSUSE-Version bedeutet dies keine wesentliche Änderung ohne einsetzendem Update-Wahn. Denn die Pakete haben gerade im Server-Bereich einen stabilen Zustand erreicht.

Lediglich nach der Einstellung des Versionszweigs 5.2 ist ein wesentlicher neuer Fehler aufgetaucht:

Die Überführung der Zeichenkette "2.2250738585072011e-308" in eine Gleitkommazahl (Dezimalzahl) lässt auf 32-Bit-Systeme das PHP-Script in einer Endlosschleife mit hoher CPU-Auslastung enden.
64-Bit-Systeme sind von diesem Fehler nicht betroffen. Der Fehler erscheint sowohl im aktuellen PHP 5.2.x inkl. 5.2.16 und 5.3.x. Die kommende Version 5.3.5 enthält den Fehler nicht mehr.
Für die 5.2-Version wurde lediglich nur noch ein Patch bereit gestellt. ich gehe davon aus, dass die Distributoren die Patches relativ schnell aufnehmen werden.

Betroffen ist nicht nur die interne PHP-Entwicklung, sondern auch die Verarbeitung von externen Parametern. Überall wo Zahlen übergeben werden sollen, erfolgt diese Umwandlung. Bei einem einfachen Währungsumrechner, in einem Shop-System, etc. Betroffen sind also viele Arten von Anwendungen die einfach mit einem falschen Parameter gefüttert, den gesamten Server gefährden.

UPDATE (07.01.11):
Entgegen der vorherigen Ankündigung hat Zend doch noch eine Version 5.2.17 mit diesem Bugfixing veröffentlicht.

Zwei schwere Lücken in einer veralteten Version des Mail-Servers Exim haben in den letzten Tagen von sich reden gemacht:
Zum einen eine Bufferüberlauf um Befehle mit den Rechten es Exim-Users auszuführen. Zum Anderen eine Lücke durch die der Exim-User zu Root-Rechten kommen kann.
Die Kombination der beiden Lücke ist möglich. So kann ein Hacker von außen eine Root-Shell öffnen.

Da die einzelnen Lücken und die Bugfixes vom Exim-Team lediglich als "Low" eingestuft waren, haben sie nicht den Weg in aktuelle Distributions-Pakete gefunden.

Von den aktuellen Distributionen sind lediglich Debian Lenny (und Vorgänger!) als auch Red Hat betroffen. Die jeweils heute noch supporteten Versionen wurden inzwischen aktualisiert.
/ Wer einen Mail-Server mit Exim betreibt, sollte schnellst möglichst ein Update durchführen.
In der Roh-Version sind die Fehler mit der Version 4.70 behoben worden.

Bei Plesk 9.5.x gibt es ein Problem mit dem ProFTPd. Wie inzwischen bekannt geworden ist, besteht in den ProFTPd-Versionen zwischen 1.3.2rc2 und 1.3.3c die Möglichkeit mittels eines Buffer Overflows eigenen Code mit root Rechten auszuführen.
Inzwischen gibt es dafür einen Remote-Root-Exploit!

Im Parallels eigenen Forum glühten recht schnell die Drähte heiß. Meistens wird lediglich über die hohe Serverlast oder abstürzende ProFTPd-Prozesse geklagt. Eine echte Kompromittierung ist bisher nicht bekannt geworden.

UPDATE 11.11.2010:
Seit heute gibt es ein Micro-Update von Parallels für die Plesk 9.5 Versionen, welches eine neue Version von ProFTPd installiert. Einfach den autoinstaller starten bzw. über das Plesk-Panel das Update einspielen.

/usr/local/psa/admin/sbin/autoinstaller --select-release-current --upgrade-installed-components

Seit heute steht Plesk 10 zur Installation und Update zur Verfügung.
Bisher wurden keine Probleme mit dem Update oder bestehenden Lizenzen gemeldet.
Dennoch muss jedem Produktiv-Server-Admin anraten, mit einem Update zu warten.

Wesentliche Neuigkeiten:
Vollständig umstrukturierte und neu designete Oberfläche.
Einen "Powermode" wenn es nur einen Plesk-User (Admin) gibt. Ohne Powermode gibt es die alte Struktur aus Reseller, Kunden und Domain-Usern.

In den Kernel-Versionen 2.6.30 bis einschließlich 2.6.36-rc8 ist ein Fehler im RDS-Protokoll (Reliable Datagram Sockets, ein von Oracle entwickeltes, UDP-ähnliches, Verbindungs-Protokoll) enthalten, welcher dem Angreifer root-Rechte einräumen kann. Ein proof-of-concept-Exploit öffnete im Test der heise-Security-Redaktion auf einem Ubuntu 10.04 (64 Bit) eine Root-Shell.

Aus zu nutzen ist diese Lücke lediglich als lokaler User mit den Rechten selbst hoch geladene oder auf dem Rechner selbst kompilierte Programme auszuführen. Sprich: Shell-Zugang. FTP-Zugang alleine reicht nicht um diese Lücke zu nutzten.

Die Distributoren dürften in den nächsten Tagen den Kernel-Patch einspielen.
Als Workaround kann das RDS-Modul einfach deaktiviert werden:

echo "alias net-pf-21 off" > /etc/modprobe.d/disable-rds