Veni, Vidi, VISA

Serendipity 1.5.4 has been released and addresses some minor bugfixes as well as a XSS security issue discovered and reported by High-Tech Bridge. The XSS is only exploitable though, if you are using the "Remember me" feature in the Serendipity backend to login. Thanks to the quick notification by the team we were able to fix the issue within 24 hours, as with all past security issues.

The XSS-issue can easily be patched by only replace the file include/functions_config.inc.php with the new file (link), or by applying this patch.

Other bugfixes that come with the new Serendipity 1.5.4 release are:

• Fix PHP 5.3.2 parse error in a file, thanks to fyremoon
• Fix SQL query statement for deleting a category, which on some DB types (SQlite) might not return "true" and thus not really delete the category.
• Include license output in plugin listing
• Fix escaping when using ImageMagick to create PDF-thumbnail images
• Add new template variable to feed*.tpl files to support new plugins like pubsubhubbub, so that plugins can embed data to the main XML element

The latest release can be found on our SourceForge repository and on the usual place on . To upgrade from any previous Serendipity version, simply extract and upload the new files to your server.

Quelle: blog.s9y.org

... Ihr Computer oder Netzwerk sendet eventuell automatische Anfragen. Um unsere Nutzer zu schützen, können wir Ihre Anfrage derzeit nicht verarbeiten. meint Google und will das ich die Zeichen auf dem CAPTCHA eingebe und dann auf "Ich bin ein Mensch." klicke.
Sorry Jungs, aber erstens kann die Zeichen auf dem CAPTCHA kein Mensch lesen (und somit wäre es grotesk auf "Ich bin ein Mensch." zu klicken) und zum zweiten saugt ihr Kometen durch Nadelöhrchen. Und jetzt dürft ihr sterben gehen. Danke!

Laut einigen News-Portalen fährt Apple schwere Geschütze gegen Jailbreaker auf. Wie es nun ans Tageslicht kam, hat das Unternehmen mit Sitz im kalifornischen Cupertino ein Patent eingereicht, welches iPhone-Jailbreakern an den Kragen gehen könnte. Demnach soll die neue Technologie nicht autorisierte Nutzer von elektronischen Geräten identifizieren und abschalten. Darunter auch Jailbreaker.
[...]
Der angebliche Jailbreak-Killer basiere auf die Remote-Löschfunktion von iPhone-Daten. Es ist bereits bekannt, dass beim iPhone eine Löschfunktion existiert, die es Apple von der Ferne aus ermöglicht, Anwendungen vom Gerät zu entfernen. Bisher werde das System angeblich nur genutzt, um eventuelle Schadsoftware von zentraler Stelle aus auf den Geräten löschen zu können. Nun gehe Apple einen Schritt weiter. Diese Technologie soll nun auch die unautorisierte Nutzung eines elektronischen Geräts verhindern.
Der "Systeme und Methoden zur Identifizierung unautorisierter Nutzer eines elektronischen Gerätes" betitelte Patentantrag weist darauf hin, inwiefern unautorisierte Zugriffe auf den Smartphones erkannt werden: Anhand von Stimmerkennung, SIM-Karten-Manipulationen, durch auffällige Veränderung des Lebensumfelds, anhand von Herzfrequenzanalyse oder durch veränderte Anwendungs-Abläufe. Sollte das System solch eine Unregelmäßigkeit erkennen, ermöglicht es die Technologie Fotos aus der Umgebung zu versenden, den rechtmäßigen Nutzer über die GPS-Daten des Smartphones zu informieren oder alle persönlichen Daten vom Gerät zu entfernen.

Quelle: gulli.com

Jetzt mal ernsthaft.. welche Gründe sprechen eigentlich für die Nutzung von Produkten aus dem Hause Apple? Mal von latentem Masochismus abgesehen.
Und bevor jetzt wieder irgendwelche Mac'ler aufschlagen und mit dem von mir bisher noch nicht zitiertem Satz Auch wenn für die Methode des Jailbreakens eine potenzielle Gefahr besteht, ist dieser Schachzug aufgrund der Legalisierung vom 27. Juli 2010 eher unwahrscheinlich. ankommen... Jungs.. vergesst es einfach. Mac saugt. Und zwar tierisch!

Nachdem ich im vorherigen Eintrag geschrieben habe das ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht, haben mich schon einige Mails erreicht wo mir erklärt wurde, das man auch Linux auf solchen Systemen verwenden kann.
Stimmt auffallend. Die Frage ist nur ob man das auch wirklich will? Das kein System wirklich sicher ist, steht außer Frage (mal XTS-400 und diverse TCSEC-B1 - Systeme mal außer Acht gelassen) und das Sicherheitslücken gefunden werden lässt sich bei komplexen Systemen nicht vermeiden. Aber was ein absolutes KO-Kriterium sein kann, ist, wie auch gefundene Sicherheitslücken reagiert wird. Bei *BSD (damit ich mich auch den vorherigen Eintrag beziehe) gibt es dafür Mailinglisten und Advisories auf der Homepage wo man sich informieren bzw. auf dem laufenden halten kann. Bei Linux gibt es weder noch; nur einen kurzen Log im git-log. Gut.. besser als nix werden sich jetzt einige denken, aber das ist für Admins alles andere als auch nur irgendwie brauchbar. Ein Admin hat i. d. R. keine Zeit um sich ein Repo zu clonen und dort in den Shortlogs nach Änderungen Ausschau zu halten die sich auf Sicherheitslücken beziehen. Und - auch wenn ich jetzt einige enttäuschen muss - es bringt auch nicht viel das z. B. Debian die Mailingliste debian-security-announce@ hat, wo man über Sicherheitslücken benachrichtigt wird. Deren Aufgabe ist es, Patche über ihr Paketmanagementsystem verfügbar zu machen, damit sie eingespielt werden können. Aber das können sie erst, nachdem der Patch auch verfügbar ist.
Wenn eine bekannte Sicherheitslücke über zwei Monate lang nicht behoben wird, dann ist das absolut untragbar und die Tatsache das in keiner Art und Weise veröffentlicht wird, dass es sich um die Behebung eines sicherheitsrelevanten Bugs handelt, ist für mich ein Grund meinen Kunden Linux auf sicherheitsrelevanten Systemen als letzte Möglichkeit zu empfehlen (und selbst da nur mit Einschränkungen).

Vim 7.3 Announcement. Was genau geändert wurde, kann man unter :h version-7.3 nachlesen.. mehr oder weniger.. eigentlich mehr weniger, weil es wieder mal keinen brauchbaren Changelog gibt *sigh*


Und eine Sicherheitslücke im Linuxkernel wurde geschlossen. Nach zwei Monaten. Und selbstverständlich ohne irgendeinen Hinweis darauf das es eine Sicherheitslücke war. Hey.. geht ja nur um das kleine Problem das lokale User root-Rechte erreichen können. Langsam wird es echt mal Zeit das jemand einen funktionierenden Fork von Linux rausbringt; allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht.

Und zwar diesmal unter folgendem Link: http://www.3dsupply.de/grabashirt/.

So.. keine Aufträge mehr in der Warteschleife. Zum ersten Mal seit fast einem Jahr wo ich mehr als vier Tage zusammenhängenden Urlaub habe bzw. es so drehen konnte das ich keine Aufträge mehr hatte. Jetzt mach ich bis zum 06.09.2010 gar nichts. Nicht mal gar nichts.

Nope; kein ironischer oder sarkastischer Eintrag, sondern eine Tatsache. Nachdem WM-Sieg 2007 haben heute die Mädels der U-20 Nigeria mit 2:0 geschlagen (nachdem sie mit 5:1 ganz knapp gegen Südkorea gewonnen haben). J-E-H-O-V-A!!!111!

Vorgestern wurden die IP-Adressen unzähliger Unternehmen mitgeschnitten, die sich am Download der gecrawlten 100 Millionen Facebook-Profile beteiligen. Die Liste klingt wie das „Who is Who“ der Industrie. Die PR-Abteilungen dürften sich über diesen Fund freuen, denn das Archiv umfasst im komprimierten Zustand nicht weniger als 2,79 Gigabyte Daten.
Kürzlich wurde eine Torrent-Datei mit 100 Millionen Facebook-Profilen auf diversen BitTorrent-Tauschbörsen veröffentlicht, die jemand mithilfe des Crawlers von Ron Bowes von Skull Security zusammengetragen hatte. Das Interesse an den Daten scheint ungebrochen zu sein. Da die IP-Adressen der Interessenten leicht auszumachen sind, konnte unlängst festgestellt werden, wer alles von der Industrie Interesse an diesen persönlichen Daten hat. Unzählige Firmen mit Rang und Namen sind dabei vertreten:
[...]

Quelle: gulli.com
Ich komme langsam aber sicher in die Versuchung Facebook-User mit Apple-User auf die gleiche Objektivitäts- und Intelligenzstufe zu stellen (und die ist auf dem Level "nicht vorhanden").

War eine ganz normale Diskussion als wir nach der Arbeit noch schnell zusammen Essen gegangen sind (Admin, Sekretärin mit bester Freundin und meine Wenigkeit). $Admin hat sich beschwert das es für Männer nicht so einfach ist eine Frau zu finden die zu einem passt (war eh nur als Scherz gedacht um die beiden Damen etwas aufzuziehen).
$Sekretärin: Hübsche, intelligente und verständnisvolle Frauen gibt es doch überall auf dieser Welt. Die findet man an jeder Ecke.
$Admin: Das mit der Ecke mag stimmen.. umso mehr als das die Erde rund ist.
Hat bei ihr zwar etwas gedauert, aber das war das erste Mal das ich bei einer Frau erlebt habe das sie nichts mehr gesagt hat. Gut.. sie hat zwar dann erwartet das ich Partei für sie ergreife, aber ich blieb mit "Seht mich nicht so an. Mir ist das egal.. ich hatte gestern Sex." unparteiisch.