Für die Blog-Software WordPress (womit auch diese Seite läuft) sind zwei kritische Exploits aufgetaucht. Mit beiden ist es für einen Angreifer möglich, vollen Zugriff auf das jeweilige System zu erhalten.
Die Entwickler haben sehr schnell reagiert und Version 2.0.6 freigegeben, die diese Fehler beseitigt.
Tagged News
| Nach langer Entwicklungszeit gibt es seit knapp 2 Wochen das erste spielbare Release von FreeSynd. Dabei handelt es sich um einen Rewrite von |  |
Tagged Spiele
Da musste ich neulich einen neuen Email-Server aufsetzen, so mit allem drum und dran. Sah auf den ersten Blick für mich etwas komplex aus; SMTP-Server, IMAP und POP3 via TLS/SSL, SMTP-AUTH, Webmail via HTTPS … und das ganze am besten in ner Stunde fertig.
Ganz so schnell hab ichs zwar nicht geschafft, es war dann aber doch einfacher als ich gedacht hatte.
Realisiert habe ich das ganze mit einer Fedora Core 5 – übers vorhandene yum konnte ich problemlos alle benötigen Programme installieren: sendmail als SMTP-Server, Dovecot für IMAP und POP3, Cyrus-SASL für die Authentifizierung, Apache mit Squirrelmail für Email-via-Web, OpenSSL für die Sicherheit drumherum. Und vorsichtshalber habe ich auch einen Mailman mit vorbereitet, falls ich in den kommenden paar Wochen mal nach einem Dingsbums für Mailinglisten gefragt werde.
Und so gehts…
Allem Anschein nach hat Steven J. Murdoch eine Lücke im Anonymisierdienst Tor entdeckt. Da diese “Lücke” jedoch so speziell ist, kann mit einem vertretbaren Aufwand der Nachweis nur in einer Testumgebug erzeugt werden.
Murdoch hat festgestellt, daß man die individuellen Abweichungen der TCP-Zeit durchaus auf einzelne Rechner innerhalb des Tor-Netzes (bzw. die anfragenden Rechner) identifizieren kann. Eine zweite Möglichkeit ist die Drift, in diesem Fall also die Temperaturschwankung der Taktfrequenz, auszuwerten und somit einzelne Rechner auch bei wechselnden Providern schnell wieder zu finden.
Das ganze klappt natürlich nur tatsächlich im Labor. Im Internet ist ein solches Vorgehen praktisch unmöglich – schließlich gibt es tausende von Tor-Servern über die zehntausende von Usern surfen. Eine so große Datenmenge auszuwerten um einzelne Systeme zu enttarnen ist tatsächlich nicht machbar – wobei dort im schlimmsten Fall zudem der Rechtliche Nachweis fehlen dürfte.
Tagged Security
