Archive for July, 2009

An das Arschloch …

Monday, July 27th, 2009

… das mein Fahrrad geklaut hat: ich hoffe du merkst erst zu spät, dass die Bremsen nicht greifen und machst einen auf Meg Ryan in Stadt der Engel!

Mein Fahrrad

[Update 10.09.09] Gerade noch etwas interessantes entdeckt:

missingbike

Inoffizielles Sicherheitsupdate für easyLink

Thursday, July 23rd, 2009

Seit mehreren Wochen ist nun bekannt, dass in verschiedenen Versionen von easyLink gravierende Sicherheitslücken vorhanden sind. Wie die Firma Mountaingrafix mit ihren Kunden im Forum umspringt, lasse ich an dieser Stelle besser unkommentiert. Ein Update steht von offizieller Seite anscheinend noch immer nicht zur Verfügung; im Forum gibt es zwar ein paar “dringende Sofortmaßnahmen”, diese bringen jedoch zahlreiche Nebenwirkungen mit sich.

Bis ein Sicherheitsupdate seitens Mountaingrafix erscheint, wird man sich wohl noch einige Zeit gedulden müssen. Herr Schoppengerd schreibt im Forum: “leider hat bei uns momentan leider niemand Zeit sich um die Version wirklich zu kümmern.”

Um die Nutzer von easyLink 2 nicht im Regen stehen zu lassen, habe ich daher nach bestem Wissen und Gewissen ein inoffizielles Sicherheitsupdate erstellt. Da es potenziellen Angreifern hilfreiche Informationen über die Lücken liefern könnte, werde ich es jedoch nicht öffentlich anbieten.

Betroffene easyLink-Besitzer können es kostenlos per E-Mail an sicherheitsupdate@naggel.com anfordern.

[Nachtrag 28.07.09: Mittlerweile stellt der Hersteller für die neueste Version ein Update zur Verfügung, das auf meinen Änderungen beruht. Benutzern älterer Versionen wird empfohlen, die Änderungen manuell anhand meiner Anleitung durchzuführen.]

Sicherheitslücken in easyLink 2.6

Monday, July 20th, 2009

Einer meiner Kunden rief mich besorgt an und teilte mir mit, dass es Sicherheitslücken in einem seiner Link-Kataloge gebe. Nach dem Gespräch schickte er mir noch ein Video zu, das das Ausmaß der Lücken demonstrieren sollte: es zeigte einen leicht bedienbaren Exploit, der anscheinend nach Eingabe einer URL private Daten wie E-Mail-Adressen und Kontonummern aus einem Web-Katalog auslas.

Das stank natürlich nach XSS, SQLi und mehr, und nach einiger Recherche im Code fand ich auch einige Sicherheitslücken, die das Ausspähen dieser Daten ermöglichten. Natürlich habe ich umgehend Fehlerkorrekturen erstellt und bei allen meinen betroffenen Kunden installiert!

Zitat meines Kunden: “Vielen Dank für die super schnelle Fehlerbehebung! Ich bin froh, dass Sie den Support für mein Portal leisten!”.

Danke, das hört man gerne :-)

[Nachtrag 28.07.09: Mittlerweile stellt der Hersteller für die neueste Version ein Update zur Verfügung, das auf meinen Änderungen beruht. Benutzern älterer Versionen wird empfohlen, die Änderungen manuell anhand meiner Anleitung durchzuführen.]

Ohrwurm

Saturday, July 18th, 2009