netzdeponie.de – Seite 2 – Willkommen auf meiner Ablage

25. September 20141. Oktober 2014

Shellshock Proof of Concept

Nach Heartbleed ist aktuell der Bug Shellshock (CVE-2014-6271) wohl eine der gravierendsten Sicherheitslücken seit langer Zeit. Dadurch sind unter anderem zahlreiche Apache-Webserver auf Linux-Systemen betroffen, die durch das aktivierte Modul mod_cgi Scripte ausführen.

Hierzu gehören unter anderem Shell-Skripte. Hinzu kommt, das dieser Bug seit gut 25 Jahren in der Bash aktiv war und seit jeher Systeme theoretisch kompromittiert werden konnten.

Interessant ist auch der Ansatz von Geoff Walton den er in seinem Blog-Beitrag beschreibt. Die Lücke wird per DHCP-Option vom DHCP-Server an den Client übergeben und somit ist es möglich, auf einem DHCP-Client aus der Ferne Befehle auszuführen.

„Shellshock Proof of Concept“ weiterlesen

18. September 201419. September 2014

Absicherung von ownCloud mit Hilfe von fail2ban

Da die Grundinstallation von ownCloud in meinen Augen intransparent hinsichtlich Sicherheit ist, kam mir der Gedanke, fail2ban hierfür einzusetzen. Bei der Recherche habe ich mehrere Lösungsansätze gefunden, die aber nicht so richtig funktionieren wollten.

Ziel soll es sein, Brute-Force Attacken zu verhindern. Hierzu sei dank des Hinweises von Lutz Donnerhacke zu erwähnen, dass diese Lösung eine Brute-Force Attacke nicht in Gänze verhindert, sonder lediglich als Präventionsmaßnahme dient.

„Absicherung von ownCloud mit Hilfe von fail2ban“ weiterlesen

10. Mai 201419. September 2014

Backup von MySQL-Datenbanken

Bisher war ich ein großer Fan des Backup-Scripts AutoMySQLBackup. Es ist einfach zu installieren und macht die Datensicherung von MySQL-Datenbanken sehr einfach. Dummerweise bietet es aber keine Möglichkeit, die Retention-Time anzupassen. Mark Grennan hat zu diesem Zweck das Script angepasst. Allerdings waren einige Änderung notwendig, damit es sauber funktioniert:

Auslagerung der Konfigurations-Parameter auf Debian-Standard
Anpassung des Konfigurations-Pfad zu /etc/default/automysqlbackup
Änderung der mysqldump Optionen, denn master-data=2 wird nicht benötigt und erfordert Binlogging
Einfügen einer Überprüfung, ob USERNAME und PASSWORD gesetzt sind, da ich ~/.my.cnf hierfür benutze

Wer diese Änderung nutzen will, darf gerne den Patch und die Default-Config automysqlbackup verwenden. Zur Vervollständigung als Kurzanleitung:

„Backup von MySQL-Datenbanken“ weiterlesen

13. April 201419. September 2014

Auch Clients sind von Heartbleed betroffen!

Bei den Diskussionen über Heartbleed fällt häufig die Tatsache unter dem Tisch, das nicht nur Server betroffen sind, sondern auch bei Clients das Exploit verwendet werden kann, um Remote 64 KiB aus dem Speicher zu lesen. Hinzu kommt die Erkenntnis, das hierfür nicht mal ein Zertifikat bei der Gegenstelle vorhanden sein muss, da Heartbeats in betroffenen OpenSSL Versionen bereits vor dem Austausch von Zertifikaten oder Schlüsseln akzeptiert werden.

Die Vorgehensweise ist recht simpel:

Auf das ClientHello mit der TLS Version und der Cipher Suite warten
Senden des ServerHello mit der gleichen TLS Version und Cipher Suite (um Handshake Fehler zu vermeiden)
Ab diesem Zeitpunkt können vom vermeintlichen Server beliebig viele Heartbeats gesendet werden

Für gewöhnliche Web-Anwendungen ist dieses Proof of Concept uninteressant, dennoch bietet es bei clientseitigen Zertifikaten ein Angriffsszenario an – beispielsweise bei OpenVPN Clients ist hiermit eine Man in the Middle Attacke denkbar, um den privaten Schlüssel eines Clients zu erbeuten.

Zur Demonstration hat Peter Wu hierzu das Proof of Concept pacemaker veröffentlicht und stelle die Ergebnisse gerne vor.

„Auch Clients sind von Heartbleed betroffen!“ weiterlesen

9. April 201419. September 2014

Bin ich gegenüber den Heartbleed-Bug verwundbar?

Zur Zeit wird viel über den Heartbleed-Bug (CVE-2014-0160) in OpenSSL diskutiert. Betroffen sind die Versionen 1.0.1 bis 1.0.1f. Scheinbar ist dieser Bug einer der gravierendsten seit langem. Ein Angreifer kann über das Internet 64KB des Arbeitsspeichers eines entfernten Systems auslesen, dessen Verbindung mit der betroffenen OpenSSL Version abgesichert ist.

So kann zunächst der private Key des Systems ausgelesen werden, womit es möglich wird, jeglichen Datenverkehr zu entschlüsseln. So können laufende Verbindungen ausgelesen werden, aber auch Datenverkehr, der in der Vergangenheit abgefangen wurde. Passwörter oder weitere sensible Daten können so ohne Probleme erspäht werden.

Ich habe hier eine kurze Anleitung zusammengeschrieben, mit dessen Hilfe ein Server auf diese Verwundbarkeit überprüft werden kann. Basis ist hierbei das Script von Filippo Valsorda.

„Bin ich gegenüber den Heartbleed-Bug verwundbar?“ weiterlesen

8. Januar 201419. September 2014

Import von VMware Templates in Zabbix schlägt fehl

Seit dem Zabbix Release 2.2 gab es diverse Neuerungen bei der Integration von VMware in Zabbix. Mit dem Release 2.2.1 kann es passieren, das die Templates nicht importiert werden können. Insbesondere bei Debian passiert das scheinbar, da beim Update der Version das Script data.sql nicht ausgeführt wird.

Importiert man die die offiziellen Zabbix VMware-Tempaltes neu, schlägt dies fehl. Bei den Fehlermeldungen ist die letzte Zeile relevant:

Cannot find value map "VMware status" used for item prototype "Status of "$2" cluster" of discovery rule "Discover VMware clusters" on "Template Virt VMware".

„Import von VMware Templates in Zabbix schlägt fehl“ weiterlesen

20. September 201319. September 2014

Probleme mit Umlauten in der Bash

Mich hat heute eine Bash auf einem System in den Wahnsinn getrieben. Die Umlaute wurden aus irgendeinem Grund anders als sonst durch die Bash interpretiert. Aus ü wurde der letzte Eintrag aus der History und aus ö entstand „(arg: 6)“.

Nach Recherche im Internet fand ich heraus, das es irgendwas mit der Meta-Funktion der Bash zu tun hatte. Letztendlich haben folgende Einträge in der ~/.inputrc mir weiter geholfen:

set meta-flag on 
set input-meta on 
set convert-meta off 
set output-meta on 
set show-all-if-ambiguous on

„Probleme mit Umlauten in der Bash“ weiterlesen

19. September 201319. September 2014

Kurzbericht zum NAS Zyxel NSA-320

Unter dem Motto „kurz angetestet“ möchte ich paar Erfahrungen zum NAS Zyxel NSA-320 teilen. Eingebaut ist eine Seagate Pipeline HD 5900.2 1TB (nur 3,4W Stromverbrauch im Betrieb). NFS kann sehr einfach über das WebUI nachinstalliert werden.

Wer noch rsync und ssh benötigt, der kann die Erweiterung ffp (fonz fun plug) ebenfalls bequem nachinstallieren.

Hier die Test-Resultate vom NFS-Benchmark:

Results for write throughput:
 343.592 Mbit/s with udp,async,wsize=32768
 343.592 Mbit/s with tcp,async,wsize=32768
 306.778 Mbit/s with tcp,async,wsize=16384
 238.605 Mbit/s with udp,async,wsize=16384
 159.070 Mbit/s with udp,async,wsize=8192
 138.545 Mbit/s with tcp,async,wsize=8192
 132.150 Mbit/s with tcp,async,wsize=4096
 162.071 Mbit/s with udp,async,wsize=4096

„Kurzbericht zum NAS Zyxel NSA-320“ weiterlesen

2. August 201319. September 2014

Erste Schritte mit Multipath TCP

Bisher war es üblich, das eine TCP-Session an eine IP-Adresse gebunden war. In der Praxis kennen wir das Problem zu häufig: Gerade sitzt man noch im Café und schlürft seinen Latte machiato und via WLAN arbeitet man per SSH an einem Projekt. Plötzlich ist die Verbindung weg und lediglich die UMTS-Verbindung ist noch da. Was passiert in Folge dessen? Alle SSH-Sessions sind beendet und man kann von vorne anfangen. Schaut ich mir die jüngsten Erfolge des MultiPath TCP (MPTCP) Projektes an, könnte sich dieses Verhalten sehr bald ändern.

Um dieses Problem Einhalt zu gebieten, haben die Mitarbeiter in dem MPTCP-Projekt ein sehr interessantes Konzept entwickelt. Aufmerksam darauf bin ich durch den Vortrag auf der IETF 87 von Olivier Bonaventure geworden. Die Grundidee: Eine TCP-Verbindung über mehrere Wege parallel aufzubauen.

„Erste Schritte mit Multipath TCP“ weiterlesen

26. Mai 201319. September 2014

Ingress Field-Report aus Oldenburg

Da es in Oldenburg inzwischen deutlich mehr als acht Level 8 Spieler gab, war es längst an der Zeit, eine 8er Portal-Farm zu errichten. Anfangs konnte ich mich nur schwer dafür begeistern, da ich nach dem Erreichen von Level 8 in ein tiefes Motivationsloch gefallen bin, aber so eine Aktion konnte man sich schwierig ergehen lassen.

Am letzen Donnerstag trafen wir uns zunächst um 21:00 mit neun LVL8 Spielern und einigen 7er Spielern:

Coso coso
CleanerNDS
mazzeltooff
DemonDuck
Dumbo
SuperElmo
elwoodj
147896325
cttk

„Ingress Field-Report aus Oldenburg“ weiterlesen