Security des tages

Benutzt hier jemand einen „apache“ als websörver?

Nach einigen Mails an das Apache-Security-Team konnte das Rätsel gelöst werden: Es handelte sich um einen Use-After-Free-Bug beim Zusammenstellen der Liste von unterstützten Methoden

Anders, als golem es suggeriert, ist es keineswegs eine ungewöhnliche konstellazjon, dass jemand in einer .htaccess <Limit> oder <LimitExcept> setzt. Es ist heutzutage nur ein wenig seltener geworden, weil ein zeitgemäßes CMS seine eigene rechteverwaltung und zugriffsbeschränkung mitbringt und deshalb nicht auf metodenbeschränkung durch den websörver zurückgegriffen wird — etwa für einen POST mit einem neuen artikel im administrationsbereich. Aber das heißt noch lange nicht, dass keine altlasten auf sörvern herumliegen, und es heißt auch nicht, dass auf geteilten sörvern nicht mal jemand eine etwas esoterische oder alte softwäjhr benutzt, um sich nicht mit den nebenwirkungen der heutigen moppelseuche herumschlagen zu müssen. Oder noch häufiger: dass jemand einfach fragmente aus einer .htaccess aus dem web kopiert, ohne diese zeilen überhaupt zu verstehen und für seinen bedarf zu bereinigen. Von daher: druff mit dem pflaster, so bald es verfügbar ist! Nur ein behobener fehler ist ein guter fehler. Und wenn ich von einem „use after free“ im kern vom „apache“ lese, befürchte ich, dass es demnächst noch ein paar pätsches mehr gibt.

Oräkel des tages

Ich gratuliere oräkel dazu, dass sie „openoffice“ so mausetot gekriegt haben, dass sogar die „apache foundation“ mittlerweile einsieht, dass wiederbelebungsmaßnahmen an einer halbverwesten leiche erfolgversprechender sind, als dieses projekt noch am laufen zu halten. Gut, dass es mit „libreoffice“ einen brauchbaren fork gibt.

Alles, was oräkel anfasst, verwandelt sich in scheiße.

„Dark web“ des tages

Tja, ist schon kacke, wenn man eine webseit fürs „dark web“ aufsetzt und den websörver nicht ein bisschen sicher konfiguriert, so dass ein paar informazjonen rausgepustet werden:

In late 2015, Muffet found a dark web search engine with a leaky status page that showed what people were searching for […] Amongst the searches that survived his redactions for distastefulness was the question “how to get rid of 2 bodys”.

[…]

The screen shot below shows the server status page for a European, left-wing magazine that I found on Tor. The page reveals that the magazine, a .onion site, is sharing a server with a completely unrelated .net job website.

The job site isn’t on Tor so its location is public and can be discovered in seconds

Nur für den fall, dass jemand da draußen glaubt, im darknet bewege man sich einigermaßen sicher und kann nicht erwischt werden.