tl;dr: Hardware-Probleme bei rh-tec haben dazu geführt, dass ein Router Pakete verworfen hat. Anfänglich sah es nach einem Problem aus, das nur Telekom-Kunden betroffen hat. Gegen Mittag breitete sich das auf andere Provider aus, so dass sämtliche Hosts bei rh-tec stellenweise nicht zuverlässig erreichbar waren. rh-tec hat das Problem inzwischen gelöst. Wir haben seit heute früh eine große Zahl an Störungsmeldungen bezüglich der Nichterreichbarkeit von Servern erhalten. Allerdings stammten diese Meldungen weit überwiegend von Usern aus dem Netz der Telekom (DTAG), während die Erreichbarkeit der Server über andere Zugangsprovider in der Regel nicht betroffen schien.

Wir haben PHP nun in den aktuellen Versionen 5.6.5, 5.5.21 und 5.4.37 installiert. $ php -v PHP 5.6.5 (cli) (built: Jan 28 2015 17:45:40) Alle Uberspaces haben die neue Version nun zur Verfügung. Je nachdem, wie genau die Version des Interpreters eingestellt wurde, wird die aktuelle Version bereits verwendet. Du musst also vermutlich nichts weiter tun, um sie zu bekommen. Standardmäßig bleibt Dein Uberspace jedoch erstmal bei genau der Version, die zur Installation aktuell war.

Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki Die Symlinks unter /package/host/localhost sind angepasst: nodejs -> nodejs-0 nodejs-0 -> nodejs-0.10 nodejs-0.10 -> nodejs-0.10.36 Wenn ihr also einen von den obigen Pfaden in eueren Scripten benutzt, reicht es, den Dienst einfach neu zu starten.

tl;dr: Updates eingespielt, alles ist gut. :) Aufgepasst: Nutzer der Blogsoftware Ghost können gleich wieder aufatmen. Hier geht es ganz explizit nicht um eine Lücke in Ghost, sondern um eine frische Sicherheitslücke mit dem gleichen Namen, der wir uns entgeistert entledigt haben. Diese Lücke wurde in spezifischen GNU Lib C (glibc)-Versionen gefunden, die eigentlich bereits 2013 ausgemerzt wurde. Leider ist diese kritische Lücke aber nie als solche aufgefallen, so dass sie nur unbeabsichtigt behoben wurde.

Anfang des Monats gab es einen Blogartikel, der sich mit der Sicherheit und Absicherung von OpenSSH beschäftigt. Wir sind häufig angesprochen worden, ob wir die vorgeschlagenen Änderungen nicht auf unseren Hosts umsetzen können, das ist jedoch etwas einfacher gesagt als getan, denn … [root@andromeda ssh-6.7]# yum list installed | grep openssh | head -n 1 openssh.x86_64 5.3p1-104.el6_6.1 @updates … die OpenSSH-Version von CentOS ist leider etwas betagt und die Änderungen setzen mindestens Version 6.

Um die Privatsphäre unserer User zu verbessern, setzen wir bei uns schon seit längerer Zeit die mount-Option hidepid ein, die dafür sorgt, dass User nur ihre eigenen Prozesse sehen können, aber nicht die Prozesse anderer User. Die entsprechende Funktionalität ist zwar erst ab dem Linux-Kernel 3.2+ verfügbar; Red Hat hat sie aber in die Kernelversionen 2.6.18 bzw. 2.6.32 zurückportiert, die bei Red Hat Enterprise Linux und damit auch bei CentOS 5 und 6 zum Einsatz kommen.

An den Weihnachtsfeiertagen ist Ruby 2.2.0 erschienen, und das haben wir dann auch mal direkt bei uns verteilt. Vom Handling her, was z.B. Gem-Installationen mit --user-install angeht, dürften keine Überraschungen zu erwarten sein. Wie üblich sind die Gems für MySQL, FastCGI und SQLite3 bereits vorinstalliert, wobei wir die Gelegenheit genutzt haben, das SQLite3 in /package auf die aktuelle Version 3.8.7.4 hochzubringen. Viel Spaß mit der neuen Version, und bei Problemen bitte melden!

Eher durch Zufall sind wir darüber gestolpert, dass das bei den Mac-Usern in unserem Team sehr geschätzte Tool homebrew nun auch einen Linux-Port hat. Wer Homebrew also bereits auf seinem Mac einsetzt, muss sich nun nicht noch zusätzlich mit toast befassen, um Software zu installieren, die bei uns nicht out of the box oder in einer benötigten Version installiert ist. In dem Zuge haben wir uns dann gedacht, dass es ja kaum schaden kann, das gleich mal bei uns im Wiki zu dokumentieren.

Wenn Lücken wie POODLE bekannt werden, herrscht bei uns schon fast soetwas wie Routine. Diejenigen von uns die sich um solche Dinge kümmern verabschieden sich von allen Plänen für den Nachmittag, den Abend, die Nacht, machen im Browser Tabs mit den üblichen IT-News-Seiten, den Homepages der von uns verwendeten Softwares und (zur zwischenzeitlichen Entspannung) mit Katzen- oder Hundecontent auf und dann heißt es Warten auf Details und Softwareupdates. Bei POODLE wurde schnell klar, dass es diesmal weniger um Updates geht, als vielmehr darum SSL 3.

Speziell an diesem Wochenende beobachten wir eine ungewöhnliche Häufung von Listings einiger unserer Hosts auf http://cbl.abuseat.org/. Die CBL ist keine Blacklist von Hosts, die wegen Spamming auffällig wären, sondern weil sie Malware hosten. Dass so etwas sporadisch mal passiert, bleibt nie ganz aus, aber die Häufung war schon sehr ungewöhnlich. Speziell bei Shared Hosting ist das ein ziemliches Problem, denn wenn sich auf einem Host erstmal zig WordPress-, Joomla!- oder Drupal-Versionen befinden, die dutzendfach mit Themes und Plugins ausgestattet werden, ist es schon unwahrscheinlich genug, dass sich alle User ihrer Verantwortung bewusst sind, diese Systeme (die sie sich ja selbst installieren) auch aktuell zu halten, um jene möglichst frei von Einbrüchen zu halten.