Technologie
Today, nagios issued a security notice about CSRF and XSS Exploits regarding their product. You can read the original notice below:
The Nagios Team was notified last week about security exploits in Nagios XI that could potentially compromise a Nagios XI deployment. This message contains information about the exploits, as well as information related to mitigating these problems. We recommend that all Nagios XI users upgrade to the latest release to resolve these issues.
Security Exploit Details
The security vendor that notified us indicated that Nagios XI 2009R1.2B and earlier were vulnerable to Cross Site Scripting (XSS) and Cross Site Request Forgery (CSRF) exploits.
In order to help prevent current Nagios XI users from malicious attacks, we will not be releasing the details of exploits. However, the exploits allowed the vendor to craft requests to Nagios XI that ultimately created a PHP-based shell program that ran as the Apache user. This would allow an attacker to run arbitrary commands as the Apache user and potentially expose sensitive information.
What We Are Doing
Upon receiving the notice from the security vendor, we made changes to the Nagios XI code and released a new 2009R1.2C version that we believe fixes the problems that were reported. We have asked the vendor the re-verify the security test using the 2009R1.2C release. If the vendor reports additional problems with the latest release, we will work quickly to solve the problem and notify you of additional fixes and updates.
What Should You Do?
We recommend that Nagios XI users immediately upgrade to the latest 2009R1.2C release of Nagios XI. This release contains changes that we believe resolve the security risks reported to us.
2009R1.2C is a free upgrade for all Nagios XI users – including customers and users currently evaluating Nagios XI.
Instructions on how to upgrade your Nagios XI instance can be found in the following document:
Nagios XI Upgrade Instructions
Additional Assistance
If you encounter problems with the upgrade to 2009R1.2C, please contact our technical support team by posted to our online support forum at:
http://support.nagios.com/forum
If you have any questions about the information provided in this email please contact us.
Phone: 1-888-624-4671
So, let’s get your installation updated.
What is knowmore?
From their page:
knowmore is the best and easiest way to consume all your social networks. Clients were a great first step but it’s time for a whole new level.
Sure we let you bring together all your social networks (an ever growing list) in a single amazing interface but that’s just the beginning. We are the first intelligent and rich media aggregator. You can finally get out from under the sea of blue links and enjoy a stream of rich media. Avoid being buried by the endless flow of the timeline. Slice up your stream into a variety of new angles. Oh yeah, and search all your connected social networks for highly personal results. There’s a lot of other sweet nuggets you’ll love but we’ll let you experience those for yourself.
With knowmore you’ll finally attain social nirvana.
What do I think about knowmore?
I’m not sure yet. I just signed up there and will do some tests over the next couple of weeks. At least it is an interesting service and I’m really interested into the search function, which allows me to search through all my connected social networks.
At the time of this writing it’s only possible to connect to Twitter, Facebook and Flickr, but I think there are more to come, like Buzz and the like.
In letzter Zeit häufen sich mal wieder die Angriffe auf Webseiten, bevorzugt Shops. Die Masche der Erpresser läuft meist so, den DDoS Angriff per Email anzukündigen um vorab ein “Schutzgeld” zu erpressen. Näheres wusste bereits der Spiegel unter http://www.spiegel.de/netzwelt/web/0,1518,701879,00.html zu berichten.
Im Gegensatz zum Spiegel Artikel, welcher meist von Säberasseln ausgeht, und eher auf die Trittbrettfahrer abzielt, ist die Bedrohung durchaus real, da sich bereits mit einem Server und ein wenig Perl entsprechend ungeschützte Webserver aus dem Rennen nehmen lassen. Einer der Vertreter dieser Angriffsschnecken, wie ich sie nenne, ist Slowloris, aber es gibt auch andere die ähnlich arbeiten.
Da Slowloris ohne Probleme frei verfügbar ist unter http://ha.ckers.org/slowloris/ , kann jeder halbwegs versierte ITler so einen Angriff starten, sei es zu Kontrollzwecken ob die eigene Infrastruktur vor solchen Angriffen geschützt ist, oder auch zu kriminellen Zwecken, wie der oben genannten Erpressungsweise. Anfällig für solche Angriffe sind zum Beispiel die meisten Apache Server, alte Nginx Versionen und auch diverse andere Webserverplattformen.
In größeren lastverteilten Systemen welche Hardware Balancer nutzen und die korrekt konfiguriert sind, tritt das Problem eher weniger auf, da diese meist von Haus auf ein sogenanntes Late Binding vornehmen, und gegen die meisten dieser Angriffe schützen. Anders sieht es bei alleine im Netz stehenden Servern aus, oder lastverteilten Systemen welche eine Direktverbindung zum Webserver auf dem zum Beispiel ein Apache Server läuft zulassen (IPVS als Beispiel).
Für die letzteren Varianten gibt es aber dennoch diverse Schutzmöglichkeiten. In einem kompletten Setup mit Balancing kann man zum Beispiel als Eintrittstor einen aktuellen NGINX Server nehmen, der auch gleich das SSL Offloading übernehmen kann, aufgrund seiner sehr guten Performance. Dieser greift auf einen HAPROXY zu welcher das Balancing übernimmt. Die eigentlichen Webserver sind am Ende Apache Webserver, welche jedoch mit mod_qos laufen, welches zum Beispiel SLOWLORIS sehr gut abfangen kann.
Die einzelnen Elemente dieser Setups und genauerer Beschreibungen findet man unter den folgenden Links:
Mit diesen Komponenten kann man seine Infrastruktur relativ gut gegen diese Form von Angriffen schützen. Natürlich sollten bei Linuxsystemen von Haus auf zusätzlich TCP_SYNCOOKIES aktiviert sein, um eine andere Angriffsform abzudecken. Distributionen wie aktuelle Fedora oder CentOS haben diesen Parameter bereits als Standardeinstellung aktiviert.
Dann mal erfolgreiches Schützen!
So, auf meine Mail ist jetzt erstmal in gewohnter Form eine automatisierte Antwort eingetroffen. Übliche Standardfloskel aber keine Ticketnummer auf welche man sich beziehen könnte. Wortlaut ist wie folgt:
“Sehr geehrte Kundin, sehr geehrter Kunde,
wir danken Ihnen für Ihre E-Mail. Unser Fachteam antwortet Ihnen so schnell wie möglich.
Ihr Kabel BW Kundenservice
P. S.: Wir freuen uns, wenn Sie uns unter www.kabelbw.de/faq besuchen. Dort finden Sie Antworten auf Fragen, die uns häufig gestellt werden und alles Wissenswerte rund um unsere Produkte und Dienstleistungen.”
Mal abwarten was noch so kommt.
Nachdem ich in den letzten Monaten meinen Wechsel zur Kabel BW beantragt habe, da ich mit der Versatel nicht mehr ganz so zufrieden war, scheinen jetzt auch beim neuen Anbieter die ersten Probleme aufzutreten, bevor es richtig losgeht.
Als der Anschluss damals beantragt wurde, das Produkt trägt den Namen “CleverKabel 32”, wurde als Grundvorrausetzung angegeben, den neuen Vertrag erst beginnen zu lassen, wenn die Portierung abläuft und der alte Vertrag mit der Versatel ausläuft.
Entgegen dieses Wunsches wurde jetzt vorab der neue Anschluss angeschaltet, und natürlich in Rechnung gestellt. Als wenn dies noch nicht schlimm genug wäre, hält das Produkt bisher aber auch keineswegs was es verspricht. 32 MBit sind momentan eher eine Werbeaussage, wenn es gut läuft komme ich derzeit gerade mal auf 10 MBit, die Regel sind eher 4 – 6 MBit. Warum solche Produkte überhaupt verkauft werden, wenn die angebotene Leistung nicht erbracht wird, ist mir ein Rätsel.
Nun gut, ich habe mich heute per Email an den Kundenservice von Kabel BW genannt, um die beiden angegebenen Probleme, also die verfrühte Anschaltung sowie die schlechten Leistungsdaten zu klären.
Der Inhalt der Mail lautete wie folgt:
“Hallo Kabel BW Kundenservice,
entgegen der Bestellanforderung von uns, den Vertrag erst zu beginnen wenn der Vertrag mit unserem alten Provider ausläuft und die Portierung erfolgen kann, und uns den genauen Start für Telefonie + Internet mitzuteilen, wurde unser Anschluss nun einfach vorab „an“geschaltet und in Rechnung gestellt. Bei meinem Bestelltelefonat mit der Dame aus Ihrem beauftragten Callcenter war dies eindeutig Anforderung für die Auftragsvergabe meinerseits, den Vertrag erst mit erfolgreich abgeschlossener Portierung zu beginnen. Diese Anforderung wurde auch auf Tonband durch das Callcenter vermerkt.
Zudem habe ich mit der derzeit geschalteten Leitung einen Test durchgeführt (Rechner direkt am Kabelmodem, etc.) . Bestellt ist CleverKabel32, ich komme wenn es gut läuft gerade einmal auf 10 MBit/s, und dass nachts um 2 Uhr und nicht zu Spitzenzeiten. Soll dass ein Witz sein? Unter anderem war gerade die Leitungsqualität und Geschwindigkeit für mich ein Grund den Wechsel durchzuführen, aber bei solchen Werten hätte ich gleich bei Versatel mit meiner 6 MBit Leitung bleiben können. Sie erbringen derzeit nicht mal 1/3 der „gekauften“ Internetleistung. Leitungsschwankungen sind im Internet normal, dafür habe ich auch in der Regel Verständnis, wenn diese temporärer Natur sind. Aber diese Diskrepanz liegt weit außerhalb des Toleranzbereichs, zumal sie auch CleverKabel16 und CleverKabel6 anbieten, und die derzeit erbrachte Leistung dauerhaft eher in diesen Bereichen liegt.
Beide angegebenen Punkte sind Dinge die mich als Neukunden im Augenblick nicht gerade glücklich stimmen, und von Weiterempfehlungen eher Abstand nehmen lassen. Wie wollen wir bezüglich der angesprochenen Punkte verbleiben?“
Jetzt gilt es die Rückmeldung abzuwarten. Ich bin gespannt ob die Kabel BW wenigstens im Kundenservice Weltklasse ist, wenn Sie schon bisher nicht aus technischer Sicht die vorausgesetzten Leistungen erbringen kann.
Sollte es Neuigkeiten geben, werde ich diese hier posten. Kommentare über ähnliche Erfahrungen mit Kabel BW würden mich als “Neukunden” natürlich auch brennend interessieren.
- Advisories (2)
- Apache (7)
- Arbeit (21)
- BSD (1)
- Design (5)
- Deutsch (3)
- Internet (6)
- Social Networks (1)
- Internetanbieter (3)
- Linux (14)
- Fedora (6)
- Fedora Core (2)
- Gentoo (1)
- Netzwerk (9)
- PHP (8)
- Privat (5)
- Programmierung (8)
- Software (5)
- Open Source (4)
- Sonstiges (2)
- TCP/IP (7)
- Technologie (28)
- Tipps (13)
- Uncategorized (22)
- Virtualisierung (2)
- Windows (3)
