Dr. Christopher Kunz

After updating PHP to version 5.4 (with mixed success), I am still cleaning up the fallout peu à peu. (See all entries of this mini-series here) During my holidays, the fact that my Roundcube installation is also broken bit me (I needed quick access to my flight information and the e-mail was not cached on my iPhone). Today, I tried to fix it. 

I was using Roundcube 0.8-beta with the SQLite backend, and it seemed the database was no longer accessible. SQLite is a bit picky with its permissions, so I checked that first, but the server log said: 

[Wed Aug 08 19:06:33 2012] [error] MDB2 Error: not found (-4): [Error message: extension sqlite is not compiled into PHP]\n

Whoopsydaisies, is there an extension missing? I duly checked my PHP for SQLite support and sure enough, the sqlite3 extension was loaded. But alas, Roundcube uses the outdated sqlite2 API, so it fails. I tried updating to Roundcube 0.8.0, but to no avail. After a while of googling, I found a bug in the Debian tracker that essentially said “Roundcube’s fault for using outdated code” and led to a bug in the Roundcube bug tracker (#1488332). This one was marked as fixed 6 days ago (August 08th), so I downloaded the latest nightly, marked 20120812. This nightly did not fix the issue, either.

So either there’s currently no way to use Roundcube with SQLite and PHP 5.4 or I have missed something. Does anyone have a hint for me?

(PS: The current nightly has an awesome new UI, so the update wasn’t for naught. And I have switched to MySQL for the time being.)

Starting today, the iOS app for Owncloud is available in the Apple appstore. It is not a universal app and currently, only an iPhone version is available. That is a pity, but not a showstopper. What proved to be a hindrance, though: The iOS App for Owncloud does not support non-CA-signed SSL certificates. If you use a certificate that is not signed by a CA known to the iOS certificate bundle, the connection fails with the rather unspecific error “Server Not Found - A server with the specified hostname could not be found.”

It seems that there is currently no workaround for this. I have tried installing the self-signed certificate on my iPad (by mailing the PEM to myself and then opening the attachment on the iPad) but to no avail. Maybe this will be fixed in future versions or maybe it’s even a “feature”.

Update: An updated version has subsequently been released in the App Store to fix this issue. It also fixes screen resolution issues on the iPad (i.e. makes the Owncloud app a universal app).

I had an issue with Courier stopping to work on Debian Wheezy. This seems to be because Courier cannot access one of Postfix’s named pipes for SASL. Just restarting Postfix didn’t work. I had to issue 

killall -9 gam_server

to effectively stop Postfix’s file alteration monitor, the gamin server. After a restart everything worked again.

HTH anyone and I also hope I won’t forget about this blog entry when I next have the problem.

The PHP team has announced PHP 5.4.3 and 5.3.13, fixing two separate security issues.

• CVE-2012-2311 and CVE-2012-1823 are both fixed now. These are the CVE numbers for the PHP-CGI bug that has been announced by Eindbazen last week, and extensively covered by myself in various posts.
  


• In addition, CVE-2012-2329 has been fixed, another issue in PHP-CGI. This was a heap overflow triggered by specially crafted HTTP headers and a script executing apache_request_headers().
  

I have tested my own exploit against the new version (5.4 only, I have no 5.3 setup) and there does not seem to be a possibility to exploit the vectors opened in CVE-2012-2311 and CVE-2012-1823. These issues seem to be fixed now. I have no exploit code for CVE-2012-2329, so I cannot make a statement if it is fixed yet. Update: I have tested Georg Wicherski’s PoC exploit against 5.4.3 and it seems that CVE-2012-2329 is now also fixed.

Read the announcement here: PHP 5.4.3/5.3.13 release announcement

The download page for PHP 5.4.3 is here, the download for 5.3.13 is over here.

There is a new PHP bug that just became public today (leaked accidentially, it seems...). A flaw in the PHP CGI’s input sanitation process allows attackers to set command-line options via the query string.This behavior seems to be an oversight / misplaced design decision from 2004 and is only exploitable in specific web servers. Apache is one of them...

This opens interesting opportunities. I have blogged about those here: New Exploit @ php-security.net

By the way, Suhosin partially mitigates one of the easier remote code execution vectors that are opened through this attack. Suhosin can be circumvented completely and trivially.

(EDIT: mod_spdy seems to cause massive issues with mod_php, so I disabled it again. I am seeing lots of PHP segfaults as soon as I enable mod_spdy - these disappear as soon as it is disabled.)

This website (as long as you access it via HTTPS) is now serving pages with SPDY, Google’s still-experimental web acceleration protocol. Since SPDY mandates usage of SSL, I am using a CACert certificate to serve up pages. If you want to know why I didn’t buy a CA-signed certificate, please see this talk for a couple thoughts: SSL and the future of web authentication (PDF)

The reason this posting lands in the PHP category is that I want to have a playground testing PHP applications with mod_spdy. Currently (and probably also in the future), this machine uses mod_php instead of php_(f)cgi(d) - this is not recommended for interoperation with mod_spdy. To test the real-life impact of the possible thread safety issues, I am using my private pages as a sandbox.

 So, please test away. There is a couple of PHP applications here that might or might not work:

• A recent, PHP 5.4-patched Gallery3 installation is under https://gallery.christopher-kunz.de/


• A Wordpress installation is here: https://absynth.de/

If you have any comments, especially if you can share success stories about mod_spdy and PHP, or just want to see how SPDY performs, please comment away!

Update: You can check if you’re using SPDY already by looking into the following little page, iframed for your convenience: SPDY check

To complete the trinity of infamy: There is no Suhosin for PHP 5.4.0 either.

The patch is no longer bundled with distribution PHP. I have fired a mail to i0n1c about this but he seems to be in transit currently. The extension (0.9.33) does not compile with PHP 5.4.0 because of the copious API changes. 

Update: There is now a new version of Suhosin that is compatible with PHP 5.4.0 and 5.4.1. You can download it from Stefan Esser’s Github account (.tar.gz .zip). It compiles and runs well with PHP 5.4.0-3 (Debian Wheezy).

PHP 5.4.0-3 (cli) (built: Mar 21 2012 20:33:26)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.4.0, Copyright (c) 1998-2012 Zend Technologies
    with Suhosin v0.9.34-dev, Copyright (c) 2007-2012, by SektionEins GmbH

Thanks to andro for pointing this out. There is an installation howto over on php-security.net.

The “eAccelerator” project seems to be in hiatus. There haven’t been any changes to the downloadable files since 2010 (version 0.9.6.1). With PHP 5.4.0 released and a major bump in the Zend API coming with it, I was not expecting eAccelerator 0.9.6.1 to compile. And sure enough, it fails quite soon into the make process. 

eaccelerator.net is an Apache placeholder page, the SF site is not maintained anymore - time to let go.

So, no eAccelerator for PHP 5.4.0 (FWIW, anyway...) and onwards.

I recently upgraded this machine to Debian Wheezy (mainly to fix odd kernel crash issues that occured a couple times now) and this included a new PHP version. 5.4.0 has been stable for a month now, so I was eager to give it a spin. 

Almost all applications worked without any changes, apart from the popular “Gallery” script. Gallery3 just stopped working after upgrading to PHP 5.4.0. I maintain a fairly large gallery here, so it was vital for me to keep it running.

So, the TL;DR version to fix Gallery3 in Debian Wheezy with PHP 5.4.0:

• set date.timezone = <your-timezone> in php.ini and restart Apache
  


• comment-out line 530 in gallery3/system/core/Kohana.php

If you see everything twice (all pages are there twice), you have applied the wrong hotfix. Check in the bottom of the long entry for an explanation and a fix.

Auf Anregung der Kollegen Sebastian Grewing und Philipp Schelkle (die ebenfalls Assurer sind) habe ich mal mein CACert-Konto reaktiviert und mich Assurancemäßig auf den neuesten Stand gebracht. Ich kann nun in Gütersloh mit der vollen Punktzahl assuren.

Wer eine Assurance benötigt, kommt einfach zu den üblichen Bürozeiten bei uns vorbei:

filoo GmbH
Moltkestraße 25a
33330 Gütersloh

Bitte die zwei unterschiedlichen Ausweisdokumente nicht vergessen.

Ich freue mich, an der Open Source Data Center Conference 2012 als Speaker teilnehmen zu dürfen. Den Ausrichter, Bernd Erk von Netways, kenne ich von einer früheren Heise-Konferenz als kompententen und netten Zeitgenossen und das macht es umso angenehmer.

Nachdem die SecTXL in Hamburg leider nicht stattfinden konnte, werde ich nun den Vortrag, den ich eigentlich dort angemeldet hatte, auf der OSDC exklusiv halten. Titel und Abstract lauten wie folgt:

CA failures and the future of Web authentication (EN)

In 2011, a number of Certification Authorities suffered catastrophic failures which showed that the SSL CA system, a cornerstone of the secure Web, has been undermined by attackers and corporate greed. These failures and malpractices may well lead to the eventual downfall of SSL certificates as we know them.

This talk will summarize the events which transpired last year (and continue to pop up in 2012) and show which alternatives are currently in the making. It will introduce concepts like DANE, Convergence, Sovereign Keys and show some interesting info about SSL certificates “in the wild”.

Im Wesentlichen geht es also zum Einen um eine Retrospektive der letzten Jahre und der Major Fails im CA-Markt, aber auch um die Frage: “Was machen wir in Zukunft mit SSL?”. Und die ist ebenso spannend wie ambivalent. Ganz abschaffen kommt nicht in Frage, denn dann macht Amazon pleite. Und alles so zu lassen, ist ebensowenig eine Option. Einige spannende Projekte haben sich auf die Fahne geschrieben, die CAs zu ersetzen oder zumindest etwas weniger zum “Single Point of Failure” zu machen - und diese Projekte möchte ich kurz vorstellen.

Wichtig ist mir auch, daß diejenigen CA-Alternativen vorgestellt werden, die von freier Software inspiriert und unterstützt werden - also Convergence als Firefox-Plugin, oder die Forschungs- und Entwicklungsarbeiten beim EFF.

Die OSDC12 findet am 25. und 26. April in Nürnberg statt. Ein Rundum-Sorglos-Paket inkl. 2 Hotelübernachtungen und Konferenzdinner ist für € 950,- erhältlich. Das ist ein sehr guter Preis für ein hochklassiges Konferenzprogramm, das von Puppet über IPv6 bis zu Cloud-Workshops alle Aspekte des “State of the Art” in Opensource-zentrierten Rechenzentren abdeckt.

Mein Vortrag ist übrigens am 25. April um 14:00 - ich freue mich auf möglichst viel Publikum und eine ergiebige Diskussion!

Am 13.12. war die Prüfung, jetzt darf ich auch offiziell verkünden: Ich bin nun Dr.-Ing. (Doktor-Ingenieur). Ich habe meine Doktorprüfung mit “sehr gut” bestanden (der zweitbesten Note) und seit heute darf ich mit Übergabe der Promotionsurkunde meinen Titel auch führen.

Ich werde später noch ausführlich dazu bloggen (insbesondere über den Promotionsprozeß, das Schreiben der Diss etc.), hier vorab schon mal das wichtigste: Die Urkunde.

Vielen Dank an alle, die an diesem Erfolg beteiligt waren!

Voodoo Carrier IQ Detector report:



Build fingerprint:

Huawei/U8510/hwu8510:2.3.3/HuaweiU8510/C169B850:user/ota-rel-keys,release-keys



Carrier IQ elements found

? however it seems inactive

Detection score: 70





Test for: Linux kernel interfaces

(KERNEL_INTERFACES, weight 50)



    nothing found





Test for: Android logcat debugging log

(LOGCAT, weight 100)



    nothing found





Test for: Linux kernel drivers

(KERNEL_DRIVERS, weight 50)



    nothing found





Test for: System services

(SERVICES, weight 70)



    nothing found





Test for: ROM binaries and daemons

(SYSTEM_BINARIES, weight 70)



    found:    /system/bin/iqmsd

    found:    /system/lib/libiq_service.so

    found:    /system/lib/libiq_client.so





Test for: ROM configs

(ETC_CONFIG, weight 0)



    nothing found





Test for: Packages

(PACKAGES, weight 70)



    nothing found





Test for: Running processes

(RUNNING_PROCESSES, weight 200)



    nothing found





Test for: Suspicious classes

(SUSPICIOUS_CLASSES, weight 0)



    found:    com.carrieriq.iqagent.service.receivers.BootCompletedReceiver





Test for: Linux kernel dmesg log

(DMESG, weight 100)



    nothing found





-- 

Voodoo CarrierIQ Detector 2.0.5

Im Zuge meines Darstellungswechsels (vom Hochmittelalter ins Frühmittelalter, 10. Jahrhundert) wollte ich auch einen neuen Körperpanzer anschaffen, der etwas mehr Funktionalität als das alte Kettenhemd hat. Das ist als Schlagschutz nämlich denkbar ungeeignet und Stiche zum Körper sind im Freikampf keine Gefahr. Neben einem einigermaßen vollständigen vernieteten/gestanzten Kettenhemd, das in Gjermundbu gefunden wurde, existieren aus der Wikingerzeit wohl relativ wenige Belege für Rüstungsteile; am nächsten dran sind noch einige in Schweden (Birka) gefundene Stahllamellen, die wohl Teil eines Lamellenpanzers waren. Diese Panzer sind aus späteren Zeiten und anderen Regionen bekannt - da die Waräger eine rege Reisetätigkeit gen Byzanz unternommen hatten, ist es wohl nicht zu weit hergeholt, daß Lamellenpanzer im 10. Jahrhundert bekannt, wenn auch nicht unbedingt sehr beliebt waren. Sagas berichten wohl davon, daß Krieger ihre Rüstung wegen des zu warmen Wetters vor der Schlacht im Lager ließen und lieber ohne kämpften.

Einer der großen Nachteile des iPhone ist die Tastatur oder eher das Fehlen derselben. Die Bildschirmtastatur ist im Landscape-Modus zu raumgreifend und im Hochkant-Modus unbrauchbar; Umlaute sind schlecht zu erreichen (was sich mit iOS 5 ändern dürfte) und mir als Vieltipper geht es besonders auf die Nerven, daß man statt der LeertastemgernemmalmdenmBuchstabenm“m”merwischt. Besitzer eines Slider-Smartphones frohlocken hier, haben sie doch zumindest einen leichten Vorteil gegenüber uns Apfeljüngern (und den androidigen Kollegen, die ähnliche Probleme haben). 

Trekstor hat mit dem “i.gear Slider” nun eine pfiffige Alternative vorgestellt, die ich mir gleich angeschafft habe. Es handelt sich bei dem Gerät um ein Hardcase, an das unten eine Bluetooth-Tastatur angeschnallt ist. Diese Tastatur wird von einem LiIon-Akku gespeist, der eine Standbyzeit von bis zu 45 Tagen haben und sich für 8 Stunden Dauerbetrieb eignen soll. 

Das Tastenfeld ist etwa 10,5cm breit und 2,4cm hoch - für die einzelne Taste bleibt bei 4 Tastenreihen eine Höhe von etwa 6mm und eine Breite von 8mm. Das ist sicherlich nicht Fullsize, aber eben doch größer als die Fitzelchen auf dem iPhone-Bildschirm.