Tagebuch eines Internetjunkies

18 Monate nach dem Release von Debian 4.0 und nur 3 Monate seit der letzten Aktualisierung, ist bereits vor einigen Tagen die fünfte Neuauflage (Debian GNU/Linux 4.0r5) zum Download bereitgestellt worden. In dem Update sind wie üblich Fehlerkorrekturen und Sicherheitsaktualisierungen enthalten.

Die Linux-Distribution Debian GNU/Linux 5.0 soll noch 2008 fertig werden. Eigentlich war die Veröffentlichung für September geplant.

Gestern Abend kam über die Debian-Security-Mailingliste der Hinweis, dass im aktuellen OpenSSH-Paket eine Denial of Service Attacke möglich ist. Hier die entsprechende Info:

It has been discovered that the signal handler implementing the login timeout in Debian’s version of the OpenSSH server uses functions which are not async-signal-safe, leading to a denial of service vulnerability (CVE-2008-4109).

The problem was originally corrected in OpenSSH 4.4p1 (CVE-2006-5051), but the patch backported to the version released with etch was incorrect.

Systems affected by this issue suffer from lots of zombie sshd processes. Processes stuck with a “[net]” process title have also been observed. Over time, a sufficient number of processes may accumulate such that further login attempts are impossible. Presence of these processes does not indicate active exploitation of this vulnerability.

It is possible to trigger this denial of service condition by accident.

For the stable distribution (etch), this problem has been fixed in version 4.3p2-9etch3.

For the unstable distribution (sid) and the testing distribution (lenny), this problem has been fixed in version 4.6p1-1.

We recommend that you upgrade your openssh packages.

Also husch husch auf die Linux-Box einloggen und ein apt-get update; apt-get upgrade ausführen.

Auf heise open gibt es einen schönen Artikel zum 15. Geburtstag des Betriebssystems Debian.

!!! Wichtige Kundeninformation !!!

Sehr geehrte Damen und Herren,

wie vor Kurzem von Debian-Entwicklern bekannt gegeben wurde,  erzeugt die OpenSSL-Bibliothek dieser Linux-Distribution seit  einem fehlerhaften Patch schwache Krypto-Schlüssel.

Dies bedeutet, dass die erzeugten Zufallszahlenfolgen und somit  die erzeugten Schlüssel vorhersagbar sind.
Betroffen davon sind OpenSSL-Pakete der Distribution seit  einschließlich Version 0.9.8c-1 vom 17. September 2006 sowie  die abgeleitete Distribution Ubuntu.

Es stehen inzwischen fehlerbereinigte OpenSSL-Pakete bereit,  in denen die Entwickler auch zwei weitere, kleinere  Sicherheitsprobleme behoben haben.

Wir bitten Sie daher, schnellstmöglich Ihr System dahingehend zu überprüfen und ggf. ausgestellte Zertifikate und Schlüssel  nach einem OpenSSL-Update neu zu erstellen.

Mehr Informationen dazu finden Sie auf der offiziellen  Debian-Website unter  http://lists.debian.org/debian-security-announce/2008/msg00152.html

Für Debian gibt es einen OpenSSL Weak Key Detector, mit dem Sie ihre ausgestellen SSH-Keys überprüfen können. Das Tool installieren Sie wie folgt:

wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
perl dowkd.pl user

Alternativ gibt es einen Web-basierten Test zum Prüfen, ob die SSH-Server-Zertifikate unsicher sind. Dieser Test wird unter http://serversniff.net/sshreport.php bereitgestellt.

Die Debian-Entwickler wollen die Unterstützung für die Mitte 2005 erschienene Version Sarge (3.1) Ende März einstellen.

Quelle: heise online

Jeder Sysadmin, der mehr als einen Server betreut, steht irgendwann vor dem Problem, da0 die Distribution regelmäßig auf den neuesten Stand gebracht werden muss. Sei es durch Weiterentwicklung der installierten Pakete oder - was besonders kritisch ist - durch Patches für Sicherheitslücken. Einzeln auf jeden Server zu gehen kann da nach einer Weile schon ganz schön nerven, vor Allem wenn man beispielsweise den Testing-Tree (Lenny) von Debian einsetzt. Aber auch bei Stable (Etch) gibt es schonmal Updates, die dann auf allen Servern eingespielt werden müssen.

Abhilfe kann hier Updian, steht für DebianUpdate, schaffen. Das in PHP geschriebene Programm ist ein minimalistischer Update-Manager, mit dem man unterschiedliche Server in kurzer Zeit auf den neuesten Stand bringen kannn. Das Management der Updates geschieht in einem einfachen Webinterface, wo man in einer Übersicht die Server aufgelistet bekommt, welche Updates bereithalten. Ein Klick auf den Server zeigt detailliert die Pakete samt Versionsnummern an, für die es Updates gibt.

Links: Website von “Updian” | Screenshot vom Webinterface

Wie bei POP3, schaut bei IMAP der E-mail Client in regelmäßigen Abständen nach neuen E-Mails auf dem Server. Für diejenigen, die neue Mails gar nicht mehr erwarten können, bieten moderne IMAP-Clients die IDLE-Funktion an. Hier informiert der IMAP-Server aktiv alle wartenden Clients über neue Nachrichten im Posteingang. Der Courier-IMAP in Debian bietet diese Funktion ebenfalls an, sie ist aber nicht standardmäßig aktiviert. Hier die Anleitung zum einschalten der Funktion:

In der Courier-Konfigurationsdatei /etc/courier/imapd gibt es die zwei Einstellungen IMAP_CAPABILITY und IMAP_ENHANCEDIDLE. Die erste Option enthält die Fähigkeiten des IMAP-Servers, so wie er es den Clients mitteilt. Hier ist die Fähigkeit IDLE einzutragen, z.B.

IMAP_CAPABILITY=”IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=CRAM-MD5″

Die Konfigurationseinstellung IMAP_ENHANCEDIDLE ist mithilfe des Wertes 1 zu aktivieren:

IMAP_ENHANCEDIDLE=1

Nun noch den Courier-IMAP-Server neustarten und das war es.

Laut der Meldung über die Debian News Liste wurde das erste Mal ein Oldstable Tree aktualisiert, obwohl es bereits einen anderen Stable gibt. So wird nun Debian 3.1rc7 (Codename Sarge) ebenfalls noch aktualisiert und bringt einige Fehlerbehebungen mit sich. Es scheint, dass das gute alte Sarge noch sehr stark genutzt wird, und daher die Entwickler eine Aktualisierung für notwendig hielten

Mein bei DELL bestelltes System ist gestern geliefert worden. Der Versand war noch Freitag Nacht erfolgt und das Paket ist dann übers Wochenende von Irland nach Deutschland gekommen. Das System hält bisher was es hält, nur die Tastatur ist nicht so ganz mein Fall. Im Werk war ein RAID-Array mit der ganzen Festplatte eingerichtet. Vorinstalliert war wie bestellt Windows XP Home. Das DELL ja nun auch seine System mit Ubuntu ausliefert hatte ich total vergessen. Naja, ich habe auf jedenfall das RAID platt gemacht weil ich neben Windows auf Debian auf dem System haben wollt. Bei dem ersten beiden Installationsversuchen von Windows stimmte die Zuordnung der Laufwerke (der Buchstaben) nie. Windows hatte C bis G für den 19-in-1 Media Card Reader verwendet und dann die Festplatte auf H. Beim dritten Versuch hat es dann aber doch geklappt. Leider fehlte ein Treiber für das Audio-Device auf der Treiber-CD. Aber den gabs es auf bei DELL im Support-Bereich auf der Homepage. Nacher installiere ich noch Debian und dann können nach und nach die Daten vom alten auf das neue System wandern.

So, nach ein wenig fummeln habe ich Confixx nun dazu überredet auch mit IMAP zu arbeiten.

1. Installation der benötigten Software (Debian-Way)

apt-get install courier-authdaemon courier-authlib courier-authlib-userdb courier-base courier-imap courier-imap-ssl courier-ssl courier-pop3 courier-pop3-ssl

2. Änderungen in der confixx_main.conf

Die confixx_main.conf im Lieblingseditor öffnen und folgende Änderungen machen:

$mail_realHome = ‘1′;
$pop_homeDir = ‘/var/mail’;
$mailSpool = ‘/var/spool/mail’;
$maildrop = ‘HOMEDIR/Maildir/’;
$mailBoxName = ‘Maildir’;

Nun muss das confixx_counterscript.pl mit den Flags –fa -dbg ausgeführt werden.

3. Änderung in Postfix

Die Datei /etc/postfix/main.cf im Lieblingseditor öffen und um home_mailbox = Maildir/ erweitern.

4. Änderung in procmail

Die Datei /etc/procmailrc im Lieblingseditor öffen und um DEFAULT=”$HOME/Maildir/” erweitern.

5. Konfiguration Courier

Die Dateien /etc/pam.d/imap und /etc/pam.d/pop3 sollten wie folgt aussehen:

auth required pam_unix.so nullok
account required pam_unix.so
password required pam_unix.so
session required pam_unix.so

In /etc/courier/authdaemonrc muss der Eintrag authmodulelist=”authpam” vorhanden sein.

6. Dienste neustarten

/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-authdaemon restart
/etc/init.d/courier-pop restart
/etc/init.d/courier-pop-ssl restart

Fertig! Sind bereits Account auf dem System vorhanden, müssen diese konvertiert werden. Confixx liefert hierfür bereits ein nettes Script mit. Das Script befindet sich im Confixx Verzeichniss unter admin/contrib/convert_mb2md.pl.

Passend zum openvcpd Paket habe ich jetzt noch zwei weitere .deb-Pakete gebaut. Neu hinzu gekommen sind Linux-Kernel-Image 2.6.22.6 mit vs2.2.0.3, drbd-8.0.6 und dem “256IP-in-a-guest-ipv4-and-ipv6″-Patch sowie util-vserver 0.30.214. Alles also sehr aktuell. Leider läst sich die derzeit aktuelle Version von squashfs (3.2-r2) noch nicht ohne Probleme in den 2.6.22.6 Kernel patchen.

Continue reading…