Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki

Die Symlinks unter /package/host/localhost sind angepasst:

nodejs -> nodejs-0
nodejs-0 -> nodejs-0.10
nodejs-0.10 -> nodejs-0.10.36

Wenn ihr also einen von den obigen Pfaden in eueren Scripten benutzt, reicht es, den Dienst einfach neu zu starten.

Aufgepasst: Nutzer der Blogsoftware Ghost können gleich wieder aufatmen. Hier geht es ganz explizit nicht um eine Lücke in Ghost, sondern um eine frische Sicherheitslücke mit dem gleichen Namen, der wir uns entgeistert entledigt haben.

Diese Lücke wurde in spezifischen GNU Lib C (glibc)-Versionen gefunden, die eigentlich bereits 2013 ausgemerzt wurde. Leider ist diese kritische Lücke aber nie als solche aufgefallen, so dass sie nur unbeabsichtigt behoben wurde. In diesem Zeitraum wurden aber ausgerechnet diese Versionen auch in die stabilen Enterprise-Distributionen aufgenommen, so dass nun auch die von uns eingesetzten CentOS 5- und 6-Systeme von dieser Lücke betroffen sind. Aufgefallen ist das erst bei einem internen Audit von Qualys, die bei ihrer weiteren Analyse festgestellt haben, dass sich durch den Aufruf der Funktion gethostbyname ein Buffer Overflow auslösen lässt. Das ermöglicht es, den Speicherbereich eines Programms so zu beschreiben, dass mit den Berechtigungen dieses Programms Code ausgeführt werden kann.

Anfang des Monats gab es einen Blogartikel, der sich mit der Sicherheit und Absicherung von OpenSSH beschäftigt. Wir sind häufig angesprochen worden, ob wir die vorgeschlagenen Änderungen nicht auf unseren Hosts umsetzen können, das ist jedoch etwas einfacher gesagt als getan, denn …

[root@andromeda ssh-6.7]# yum list installed | grep openssh | head -n 1
openssh.x86_64                     5.3p1-104.el6_6.1                 @updates

… die OpenSSH-Version von CentOS ist leider etwas betagt und die Änderungen setzen mindestens Version 6.7 voraus. Nun ist SSH aber ein so wichtiges System, dass wir nicht Hals über Kopf (wir lernen ja dazu) alle Zöpfe abschneiden wollen.

Um die Privatsphäre unserer User zu verbessern, setzen wir bei uns schon seit längerer Zeit die mount-Option hidepid ein, die dafür sorgt, dass User nur ihre eigenen Prozesse sehen können, aber nicht die Prozesse anderer User. Die entsprechende Funktionalität ist zwar erst ab dem Linux-Kernel 3.2+ verfügbar; Red Hat hat sie aber in die Kernelversionen 2.6.18 bzw. 2.6.32 zurückportiert, die bei Red Hat Enterprise Linux und damit auch bei CentOS 5 und 6 zum Einsatz kommen. So weit, so gut.

An den Weihnachtsfeiertagen ist Ruby 2.2.0 erschienen, und das haben wir dann auch mal direkt bei uns verteilt. Vom Handling her, was z.B. Gem-Installationen mit --user-install angeht, dürften keine Überraschungen zu erwarten sein. Wie üblich sind die Gems für MySQL, FastCGI und SQLite3 bereits vorinstalliert, wobei wir die Gelegenheit genutzt haben, das SQLite3 in /package auf die aktuelle Version 3.8.7.4 hochzubringen. Viel Spaß mit der neuen Version, und bei Problemen bitte melden!

Eher durch Zufall sind wir darüber gestolpert, dass das bei den Mac-Usern in unserem Team sehr geschätzte Tool homebrew nun auch einen Linux-Port hat. Wer Homebrew also bereits auf seinem Mac einsetzt, muss sich nun nicht noch zusätzlich mit toast befassen, um Software zu installieren, die bei uns nicht out of the box oder in einer benötigten Version installiert ist.

In dem Zuge haben wir uns dann gedacht, dass es ja kaum schaden kann, das gleich mal bei uns im Wiki zu dokumentieren. Es sei aber noch darauf hingewiesen, dass wir Homebrew noch nicht als offizielles Uberspace-Feature betrachten und es daher noch nicht auf unseren Hosts bereitstellen. Die Installation gestaltet sich aber als recht einfach.

Wenn Lücken wie POODLE bekannt werden, herrscht bei uns schon fast soetwas wie Routine. Diejenigen von uns die sich um solche Dinge kümmern verabschieden sich von allen Plänen für den Nachmittag, den Abend, die Nacht, machen im Browser Tabs mit den üblichen IT-News-Seiten, den Homepages der von uns verwendeten Softwares und (zur zwischenzeitlichen Entspannung) mit Katzen- oder Hundecontent auf und dann heißt es Warten auf Details und Softwareupdates. Bei POODLE wurde schnell klar, dass es diesmal weniger um Updates geht, als vielmehr darum SSL 3.0 endlich abzuschalten. Das sollte bei einem 18 Jahre alten Protokoll, das bereits drei Nachfolger hat eigentlich überhaupt kein Problem sein. (Um ganz ehrlich zu sein: eigentlich ist es eine Schande, dass SSL 3.0 und TLS 1.0 nicht schon seit Jahren überall abgeschaltet werden können.) Gerade nach der BEAST-Lücke in TLS 1.0 haben viele Browser auch mit 10jähriger Verzögerung endlich angefangen neuere Standards wie TLS 1.1 oder 1.2 zu implementieren, da sollte doch einer Abschaltung von SSL 3.0 wirklich nichts mehr im Wege stehen. Oder?

Speziell an diesem Wochenende beobachten wir eine ungewöhnliche Häufung von Listings einiger unserer Hosts auf http://cbl.abuseat.org/. Die CBL ist keine Blacklist von Hosts, die wegen Spamming auffällig wären, sondern weil sie Malware hosten. Dass so etwas sporadisch mal passiert, bleibt nie ganz aus, aber die Häufung war schon sehr ungewöhnlich.

Speziell bei Shared Hosting ist das ein ziemliches Problem, denn wenn sich auf einem Host erstmal zig WordPress-, Joomla!- oder Drupal-Versionen befinden, die dutzendfach mit Themes und Plugins ausgestattet werden, ist es schon unwahrscheinlich genug, dass sich alle User ihrer Verantwortung bewusst sind, diese Systeme (die sie sich ja selbst installieren) auch aktuell zu halten, um jene möglichst frei von Einbrüchen zu halten.