Falls jemand die Meldung verpasst haben sollte, z. B. weil er/sie kein heisec liest:

Es wurde ein kritischer Fehler in Ruby 1.8 und 1.9 gefunden, der die Ausführung beliebigen Codes erlaubt. Details gibt es direkt unter
Arbitrary code execution vulnerabilities. Ein Update der Ruby Interpreter ist dringend anzuraten.

Der Vollständigkeit halber die entsprechenden CVE Reports:

CVE-2008-2662
CVE-2008-2663
CVE-2008-2664
CVE-2008-2725
CVE-2008-2726

UPDATE: Die gefixten Versionen von Ruby sind wohl nicht ganz unproblematisch, was den Einsatz von Ruby on Rails betrifft. Sagt zumindest Heise Security.

Viele haben ihn kommen sehen, jetzt ist er endlich da: Der Datenschutz-GAU beim StudiVZ.

Hier etwas Lesestoff:

• Oooops - bei StudiVZ muss was absolut Grobes passiert sein


• StudiVZ: Oops, …


• StudiVZ: Pressemeldung zum Angriff auf die Datenbank [Update]


• Angriff auf studiVZ Datenbank


• StudiVZ-Nutzerdaten ausgespäht


• Angriff auf studiVZ-Datenbank

In der Vergangenheit gab es schon die Befürchtung, die Daten des StudiVZ könnten über Crawler/Harvester automatisiert ausgelesen werden. So wurden z. B. auf dem 23C3 von Hagen Fritsch einige (harmlose) Statistiken veröffentlicht, welche aus ausgelesenen Profilen des StudiVZ generiert wurden.

Ich bin jetzt wirklich froh, dass ich bei der Anmeldung eine extra für diesen Zweck erstellte E-Mail-Adresse und ein zufälliges Passwort verwendet habe. Wahrscheinlich wird der Anteil an Spam Mails auf das E-Mail-Konto in nächster Zeit rapide ansteigen.

Wie mittlerweile allseits bekannt ist, stellt Alturo zum 30.11.2006 den Geschäftsbetrieb ein. Im Rahmen der Geschäftsauflösung wurden den betroffenen (Server-) Kunden vergünstigte Angebote für Server von 1&1 unterbreitet. Da aber mit Sicherheit nicht jeder die Preise für echtes Blech bei 1&1 zahlen will oder kann, haben viele Konkurrenten kurzfristig eigene "Wechsel-Angebote" eingeführt. Darunter Manitu, Strato oder Hetzner. Letzt genanntes Unternehmen hat die Situation wohl genutzt, um (ver)alte(te)s Blech nochmals an den Mann zu bringen. Der kurzfristig eingeführte Tarif DS 1000 wurde schon wieder aus dem Programm genommen. Entweder man hat die Nachfrage unterschätzt oder es wurden alle alten Pizzaschachteln wieder vermietet.

Welches Angebot nun das beste ist, mag jeder für sich selbst entscheiden. Als kleine Hilfe sind die Root-Server-Tests im Blog von Marc Haber zu erwähnen. Es wurden dabei bisher folgende Server getestet:

Strato HighEnd-Server MR (vermutlich, der genaue Typ wurde nicht genannt)
Strato Power-Server S
Low-Cost Server von Netdirekt (Pentium 733)
Hetzner DS 3000

Bei letzterem ist die Beurteilung, entgegen der ansonsten verbreiteten Lobhudelei auf Hetzner, nicht sonderlich gut ausgefallen. Offenbar hat dieser ISP (übrigens nicht als Einziger) ein paar Sicherheitsprobleme mit der Netzwerkinfrastruktur. Auch ist der in Marcs Artikel angeprangerte Thread sicherlich kein Glanzlicht für das Diskussionsforum von Hetzner. Tatsächlich finde ich die System Policy für dedizierte Server etwas fragwürdig. Es darf meiner Meinung nach nicht sein, dass bei einem Root-Server vom ISP bestimmte Ports nach Gutdünken ("Aus Gründen der Netzstabilität wurde der Port 6667 gesperrt. [...] Um die massenhafte Verbreitung
von Würmern/Trojanern zu unterbinden, kann es zudem erforderlich sein, kurzfristig einzelne Ports zu sperren.") gesperrt werden können.

Bei den ganzen Angeboten würde ich persönlich zu dem Server von Manitu greifen. Der Betreiber, Manuel Schmitt, macht in seinem Blog durchaus den Eindruck, auf Kundenwünsche auch individuell einzugehen. In der WHL finden sich ebenfalls bislang nur positive Erfahrungsberichte zu Manitu. Desweiteren dürfte die monatliche Kündbarkeit und die entfallene Grundgebühr für den Monat Oktober für den ein oder anderen attraktiv sein.

Ok, scheiß Titel, ich gebe es zu.

In seinem Artikel Demokratie-Auflösung, Abteilung Wahlcomputer nimmt Andreas "die Stellungnahme des Bundesministeriums des Inneren zu den Wahleinsprüchen wegen Verwendung von Wahlgeräten" auseinander, siehe auch heise.

Es ist geradezu erschreckend zu lesen, was die Verantwortlichen fabriziert haben.

Beispiel gefällig?

Die Stimmen sind im Speichermodul nur insoweit unverschlüsselt abgelegt, als man unter Verschlüsselung ide Anwendung eines kryptographischen Algorithmus versteht.

Aha. Was war gleich nochmal Kryptografie?

Sie sind keineswegs einfach ablesbar im Speichermodul abgelegt, Um sie zu ändern, ist neben dem Zugriff auf das (geschützt bei den Gemeindebehörden) aufbewahrte Speichermodul und ein passendes Programmiergerät auch die Information erforderlich, wie die Stimmen im Speichermodul abgelegt werden müssen, damit das Wahlgerät sie beim Zählen berücksichtigt. […] EIne Offenlegung des Quellcodes würde die Integritätsbedingungen allgemein bekannt machen und damit Ansatzpunkte für Manipulationsversuche bieten.

Yay, security through obscurity at its best!

[gefunden bei Fefe]

Schichten sind wie Zwiebeln. Sie haben Oger.

Aus dem moep.net

Nachdem es offensichtlich in Mode gekommen ist, einen eigenen Tor-Knoten zu betreiben, hab ich den Zwiebel-Router auch mal auf meiner Kiste installiert. More »