Artikel-Schlagworte: „Problem“
Today, nagios issued a security notice about CSRF and XSS Exploits regarding their product. You can read the original notice below:
The Nagios Team was notified last week about security exploits in Nagios XI that could potentially compromise a Nagios XI deployment. This message contains information about the exploits, as well as information related to mitigating these problems. We recommend that all Nagios XI users upgrade to the latest release to resolve these issues.
Security Exploit Details
The security vendor that notified us indicated that Nagios XI 2009R1.2B and earlier were vulnerable to Cross Site Scripting (XSS) and Cross Site Request Forgery (CSRF) exploits.
In order to help prevent current Nagios XI users from malicious attacks, we will not be releasing the details of exploits. However, the exploits allowed the vendor to craft requests to Nagios XI that ultimately created a PHP-based shell program that ran as the Apache user. This would allow an attacker to run arbitrary commands as the Apache user and potentially expose sensitive information.
What We Are Doing
Upon receiving the notice from the security vendor, we made changes to the Nagios XI code and released a new 2009R1.2C version that we believe fixes the problems that were reported. We have asked the vendor the re-verify the security test using the 2009R1.2C release. If the vendor reports additional problems with the latest release, we will work quickly to solve the problem and notify you of additional fixes and updates.
What Should You Do?
We recommend that Nagios XI users immediately upgrade to the latest 2009R1.2C release of Nagios XI. This release contains changes that we believe resolve the security risks reported to us.
2009R1.2C is a free upgrade for all Nagios XI users – including customers and users currently evaluating Nagios XI.
Instructions on how to upgrade your Nagios XI instance can be found in the following document:
Nagios XI Upgrade Instructions
Additional Assistance
If you encounter problems with the upgrade to 2009R1.2C, please contact our technical support team by posted to our online support forum at:
http://support.nagios.com/forum
If you have any questions about the information provided in this email please contact us.
Phone: 1-888-624-4671
So, let’s get your installation updated.
In letzter Zeit häufen sich mal wieder die Angriffe auf Webseiten, bevorzugt Shops. Die Masche der Erpresser läuft meist so, den DDoS Angriff per Email anzukündigen um vorab ein “Schutzgeld” zu erpressen. Näheres wusste bereits der Spiegel unter http://www.spiegel.de/netzwelt/web/0,1518,701879,00.html zu berichten.
Im Gegensatz zum Spiegel Artikel, welcher meist von Säberasseln ausgeht, und eher auf die Trittbrettfahrer abzielt, ist die Bedrohung durchaus real, da sich bereits mit einem Server und ein wenig Perl entsprechend ungeschützte Webserver aus dem Rennen nehmen lassen. Einer der Vertreter dieser Angriffsschnecken, wie ich sie nenne, ist Slowloris, aber es gibt auch andere die ähnlich arbeiten.
Da Slowloris ohne Probleme frei verfügbar ist unter http://ha.ckers.org/slowloris/ , kann jeder halbwegs versierte ITler so einen Angriff starten, sei es zu Kontrollzwecken ob die eigene Infrastruktur vor solchen Angriffen geschützt ist, oder auch zu kriminellen Zwecken, wie der oben genannten Erpressungsweise. Anfällig für solche Angriffe sind zum Beispiel die meisten Apache Server, alte Nginx Versionen und auch diverse andere Webserverplattformen.
In größeren lastverteilten Systemen welche Hardware Balancer nutzen und die korrekt konfiguriert sind, tritt das Problem eher weniger auf, da diese meist von Haus auf ein sogenanntes Late Binding vornehmen, und gegen die meisten dieser Angriffe schützen. Anders sieht es bei alleine im Netz stehenden Servern aus, oder lastverteilten Systemen welche eine Direktverbindung zum Webserver auf dem zum Beispiel ein Apache Server läuft zulassen (IPVS als Beispiel).
Für die letzteren Varianten gibt es aber dennoch diverse Schutzmöglichkeiten. In einem kompletten Setup mit Balancing kann man zum Beispiel als Eintrittstor einen aktuellen NGINX Server nehmen, der auch gleich das SSL Offloading übernehmen kann, aufgrund seiner sehr guten Performance. Dieser greift auf einen HAPROXY zu welcher das Balancing übernimmt. Die eigentlichen Webserver sind am Ende Apache Webserver, welche jedoch mit mod_qos laufen, welches zum Beispiel SLOWLORIS sehr gut abfangen kann.
Die einzelnen Elemente dieser Setups und genauerer Beschreibungen findet man unter den folgenden Links:
Mit diesen Komponenten kann man seine Infrastruktur relativ gut gegen diese Form von Angriffen schützen. Natürlich sollten bei Linuxsystemen von Haus auf zusätzlich TCP_SYNCOOKIES aktiviert sein, um eine andere Angriffsform abzudecken. Distributionen wie aktuelle Fedora oder CentOS haben diesen Parameter bereits als Standardeinstellung aktiviert.
Dann mal erfolgreiches Schützen!
Es gibt Neuigkeiten, und die sind durchweg positiv. Meine anfängliche Skepsis wurde nicht bestätigt. Zum einen hatte ich zeitweilig aufgrund des verfrüht aufgeschalteten Anschlusses die Möglichkeit die Leitungsqualität zu testen. Im Downstream werden anstelle von 32 MBit stellenweise sogar bis zu 34 MBit erreicht. Vorbildhaft.
Nachdem gestern der Anschluss nicht mehr ging, habe ich mich beim Kundenservice der Kabel BW gemeldet. Nächster positiver Punkt: der Kundenservice verfügt über eine gebührenfreie 0800er Rufnummer. Der Kunde bezahlt also seine Probleme nicht doppelt wie bei anderen Anbietern, wo man stellenweise eine 0180er oder gar 0190/0900er Nummern anrufen muss.
Der technische Kundenservice, vertreten durch Herrn Kandimir (ich hoffe ich schreib den Namen richtig) bestätigte dann auch die Deprovisionierung des Anschlusses und gab meinen Wunsch nach Rückruf an die entsprechende Abteilung weiter. Das Gespräch mit Herrn Kandimir war sehr freundlich und vermittelte mir einen kompetenten Eindruck.
Prompt erhielt ich eben einen Anruf von Frau Riemann aus der entsprechenden Fachabteilung der Kabel BW. Auch Frau Riemann war sehr freundlich am Telefon. Nicht nur dass nun der Vertrag bis zum eigentlich gewünschten Starttermin im September 2009 auf Eis gelegt wird, nein, die Kabel BW gewährt mir erneut die 3 Monate Grundgebührbefreiung, obwohl ich im Dezember bereits die Möglichkeit hatte fehlerhafterweise den Anschluss zu nutzen.
Ich muss sagen, der Kundenservice hat mich vollends überzeugt, und ich bin froh, dass die Sache einen so positiven Ausgang genommen hat. Die Servicewüste Deutschland scheint eine Oase gefunden zu haben.
Kabel BW – weiter so, und Ihr habt einen auf Jahre treuen Kunden gewonnen.
Nachdem ich in den letzten Monaten meinen Wechsel zur Kabel BW beantragt habe, da ich mit der Versatel nicht mehr ganz so zufrieden war, scheinen jetzt auch beim neuen Anbieter die ersten Probleme aufzutreten, bevor es richtig losgeht.
Als der Anschluss damals beantragt wurde, das Produkt trägt den Namen “CleverKabel 32”, wurde als Grundvorrausetzung angegeben, den neuen Vertrag erst beginnen zu lassen, wenn die Portierung abläuft und der alte Vertrag mit der Versatel ausläuft.
Entgegen dieses Wunsches wurde jetzt vorab der neue Anschluss angeschaltet, und natürlich in Rechnung gestellt. Als wenn dies noch nicht schlimm genug wäre, hält das Produkt bisher aber auch keineswegs was es verspricht. 32 MBit sind momentan eher eine Werbeaussage, wenn es gut läuft komme ich derzeit gerade mal auf 10 MBit, die Regel sind eher 4 – 6 MBit. Warum solche Produkte überhaupt verkauft werden, wenn die angebotene Leistung nicht erbracht wird, ist mir ein Rätsel.
Nun gut, ich habe mich heute per Email an den Kundenservice von Kabel BW genannt, um die beiden angegebenen Probleme, also die verfrühte Anschaltung sowie die schlechten Leistungsdaten zu klären.
Der Inhalt der Mail lautete wie folgt:
“Hallo Kabel BW Kundenservice,
entgegen der Bestellanforderung von uns, den Vertrag erst zu beginnen wenn der Vertrag mit unserem alten Provider ausläuft und die Portierung erfolgen kann, und uns den genauen Start für Telefonie + Internet mitzuteilen, wurde unser Anschluss nun einfach vorab „an“geschaltet und in Rechnung gestellt. Bei meinem Bestelltelefonat mit der Dame aus Ihrem beauftragten Callcenter war dies eindeutig Anforderung für die Auftragsvergabe meinerseits, den Vertrag erst mit erfolgreich abgeschlossener Portierung zu beginnen. Diese Anforderung wurde auch auf Tonband durch das Callcenter vermerkt.
Zudem habe ich mit der derzeit geschalteten Leitung einen Test durchgeführt (Rechner direkt am Kabelmodem, etc.) . Bestellt ist CleverKabel32, ich komme wenn es gut läuft gerade einmal auf 10 MBit/s, und dass nachts um 2 Uhr und nicht zu Spitzenzeiten. Soll dass ein Witz sein? Unter anderem war gerade die Leitungsqualität und Geschwindigkeit für mich ein Grund den Wechsel durchzuführen, aber bei solchen Werten hätte ich gleich bei Versatel mit meiner 6 MBit Leitung bleiben können. Sie erbringen derzeit nicht mal 1/3 der „gekauften“ Internetleistung. Leitungsschwankungen sind im Internet normal, dafür habe ich auch in der Regel Verständnis, wenn diese temporärer Natur sind. Aber diese Diskrepanz liegt weit außerhalb des Toleranzbereichs, zumal sie auch CleverKabel16 und CleverKabel6 anbieten, und die derzeit erbrachte Leistung dauerhaft eher in diesen Bereichen liegt.
Beide angegebenen Punkte sind Dinge die mich als Neukunden im Augenblick nicht gerade glücklich stimmen, und von Weiterempfehlungen eher Abstand nehmen lassen. Wie wollen wir bezüglich der angesprochenen Punkte verbleiben?“
Jetzt gilt es die Rückmeldung abzuwarten. Ich bin gespannt ob die Kabel BW wenigstens im Kundenservice Weltklasse ist, wenn Sie schon bisher nicht aus technischer Sicht die vorausgesetzten Leistungen erbringen kann.
Sollte es Neuigkeiten geben, werde ich diese hier posten. Kommentare über ähnliche Erfahrungen mit Kabel BW würden mich als “Neukunden” natürlich auch brennend interessieren.
Hi everybody,
tonite I thought I write about a nice project I was involved in. It’s about bringing the virtual platform for the Developer Kick-Off Meeting 2008 to life. Target of the project is/was to let users around the world participate in a large online event, and even if their where some caveats, we managed to get all the problems solved in time. Users were able to visit the virtual conference center, which was basically a flash application, and join live keynotes, recorded sessions, post comments, communicate via chat, etc.
To manage the expected load, parts of the platform like the videos etc. where distributed via a CDN. The rest of the platform used a mysql master, scale out master, many slaves setup, which performed very well, and of course a horde of apache servers.
Final load tests where done using Funkload. Funkload is a load testing tool I would clearly recommend, and is less bloated like The Grinder or the like.
All in all, our technical project manager Darren Hague of SAP did an exceptional job in this project, keeping track of the timelines and adressing the important issues first. Thanks a lot for this Darren, I really enjoy working with you. Of course, the rest of the team also played their parts very well to get the job done successfully. Thanks alot to you guys too, and hopefully we bring some more visions like this one to life in the future.
Okay, that’s it for tonite, I really need some sleep now 
- Advisories (2)
- Apache (7)
- Arbeit (21)
- BSD (1)
- Design (5)
- Deutsch (3)
- Internet (6)
- Social Networks (1)
- Internetanbieter (3)
- Linux (14)
- Fedora (6)
- Fedora Core (2)
- Gentoo (1)
- Netzwerk (9)
- PHP (8)
- Privat (5)
- Programmierung (8)
- Software (5)
- Open Source (4)
- Sonstiges (2)
- TCP/IP (7)
- Technologie (28)
- Tipps (13)
- Uncategorized (22)
- Virtualisierung (2)
- Windows (3)
