Dr. Christopher Kunz

I had an issue with Courier stopping to work on Debian Wheezy. This seems to be because Courier cannot access one of Postfix’s named pipes for SASL. Just restarting Postfix didn’t work. I had to issue 

killall -9 gam_server

to effectively stop Postfix’s file alteration monitor, the gamin server. After a restart everything worked again.

HTH anyone and I also hope I won’t forget about this blog entry when I next have the problem.

The PHP team has announced PHP 5.4.3 and 5.3.13, fixing two separate security issues.

• CVE-2012-2311 and CVE-2012-1823 are both fixed now. These are the CVE numbers for the PHP-CGI bug that has been announced by Eindbazen last week, and extensively covered by myself in various posts.
  


• In addition, CVE-2012-2329 has been fixed, another issue in PHP-CGI. This was a heap overflow triggered by specially crafted HTTP headers and a script executing apache_request_headers().
  

I have tested my own exploit against the new version (5.4 only, I have no 5.3 setup) and there does not seem to be a possibility to exploit the vectors opened in CVE-2012-2311 and CVE-2012-1823. These issues seem to be fixed now. I have no exploit code for CVE-2012-2329, so I cannot make a statement if it is fixed yet. Update: I have tested Georg Wicherski’s PoC exploit against 5.4.3 and it seems that CVE-2012-2329 is now also fixed.

Read the announcement here: PHP 5.4.3/5.3.13 release announcement

The download page for PHP 5.4.3 is here, the download for 5.3.13 is over here.

There is a new PHP bug that just became public today (leaked accidentially, it seems...). A flaw in the PHP CGI’s input sanitation process allows attackers to set command-line options via the query string.This behavior seems to be an oversight / misplaced design decision from 2004 and is only exploitable in specific web servers. Apache is one of them...

This opens interesting opportunities. I have blogged about those here: New Exploit @ php-security.net

By the way, Suhosin partially mitigates one of the easier remote code execution vectors that are opened through this attack. Suhosin can be circumvented completely and trivially.

This website (as long as you access it via HTTPS) is now serving pages with SPDY, Google’s still-experimental web acceleration protocol. Since SPDY mandates usage of SSL, I am using a CACert certificate to serve up pages. If you want to know why I didn’t buy a CA-signed certificate, please see this talk for a couple thoughts: SSL and the future of web authentication (PDF)

The reason this posting lands in the PHP category is that I want to have a playground testing PHP applications with mod_spdy. Currently (and probably also in the future), this machine uses mod_php instead of php_(f)cgi(d) - this is not recommended for interoperation with mod_spdy. To test the real-life impact of the possible thread safety issues, I am using my private pages as a sandbox.

 So, please test away. There is a couple of PHP applications here that might or might not work:

• A recent, PHP 5.4-patched Gallery3 installation is under https://gallery.christopher-kunz.de/


• A Wordpress installation is here: https://absynth.de/

If you have any comments, especially if you can share success stories about mod_spdy and PHP, or just want to see how SPDY performs, please comment away!

Update: You can check if you’re using SPDY already by looking into the following little page, iframed for your convenience: SPDY check

To complete the trinity of infamy: There is no Suhosin for PHP 5.4.0 either.

The patch is no longer bundled with distribution PHP. I have fired a mail to i0n1c about this but he seems to be in transit currently. The extension (0.9.33) does not compile with PHP 5.4.0 because of the copious API changes. 

Update: There is now a new version of Suhosin that is compatible with PHP 5.4.0 and 5.4.1. You can download it from Stefan Esser’s Github account (.tar.gz .zip). It compiles and runs well with PHP 5.4.0-3 (Debian Wheezy).

PHP 5.4.0-3 (cli) (built: Mar 21 2012 20:33:26)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.4.0, Copyright (c) 1998-2012 Zend Technologies
    with Suhosin v0.9.34-dev, Copyright (c) 2007-2012, by SektionEins GmbH

Thanks to andro for pointing this out. There is an installation howto over on php-security.net.

The “eAccelerator” project seems to be in hiatus. There haven’t been any changes to the downloadable files since 2010 (version 0.9.6.1). With PHP 5.4.0 released and a major bump in the Zend API coming with it, I was not expecting eAccelerator 0.9.6.1 to compile. And sure enough, it fails quite soon into the make process. 

eaccelerator.net is an Apache placeholder page, the SF site is not maintained anymore - time to let go.

So, no eAccelerator for PHP 5.4.0 (FWIW, anyway...) and onwards.

I recently upgraded this machine to Debian Wheezy (mainly to fix odd kernel crash issues that occured a couple times now) and this included a new PHP version. 5.4.0 has been stable for a month now, so I was eager to give it a spin. 

Almost all applications worked without any changes, apart from the popular “Gallery” script. Gallery3 just stopped working after upgrading to PHP 5.4.0. I maintain a fairly large gallery here, so it was vital for me to keep it running.

So, the TL;DR version to fix Gallery3 in Debian Wheezy with PHP 5.4.0:

• set date.timezone = <your-timezone> in php.ini and restart Apache
  


• comment-out line 530 in gallery3/system/core/Kohana.php

If you see everything twice (all pages are there twice), you have applied the wrong hotfix. Check in the bottom of the long entry for an explanation and a fix.

Auf Anregung der Kollegen Sebastian Grewing und Philipp Schelkle (die ebenfalls Assurer sind) habe ich mal mein CACert-Konto reaktiviert und mich Assurancemäßig auf den neuesten Stand gebracht. Ich kann nun in Gütersloh mit der vollen Punktzahl assuren.

Wer eine Assurance benötigt, kommt einfach zu den üblichen Bürozeiten bei uns vorbei:

filoo GmbH
Moltkestraße 25a
33330 Gütersloh

Bitte die zwei unterschiedlichen Ausweisdokumente nicht vergessen.

Ich freue mich, an der Open Source Data Center Conference 2012 als Speaker teilnehmen zu dürfen. Den Ausrichter, Bernd Erk von Netways, kenne ich von einer früheren Heise-Konferenz als kompententen und netten Zeitgenossen und das macht es umso angenehmer.

Nachdem die SecTXL in Hamburg leider nicht stattfinden konnte, werde ich nun den Vortrag, den ich eigentlich dort angemeldet hatte, auf der OSDC exklusiv halten. Titel und Abstract lauten wie folgt:

CA failures and the future of Web authentication (EN)

In 2011, a number of Certification Authorities suffered catastrophic failures which showed that the SSL CA system, a cornerstone of the secure Web, has been undermined by attackers and corporate greed. These failures and malpractices may well lead to the eventual downfall of SSL certificates as we know them.

This talk will summarize the events which transpired last year (and continue to pop up in 2012) and show which alternatives are currently in the making. It will introduce concepts like DANE, Convergence, Sovereign Keys and show some interesting info about SSL certificates “in the wild”.

Im Wesentlichen geht es also zum Einen um eine Retrospektive der letzten Jahre und der Major Fails im CA-Markt, aber auch um die Frage: “Was machen wir in Zukunft mit SSL?”. Und die ist ebenso spannend wie ambivalent. Ganz abschaffen kommt nicht in Frage, denn dann macht Amazon pleite. Und alles so zu lassen, ist ebensowenig eine Option. Einige spannende Projekte haben sich auf die Fahne geschrieben, die CAs zu ersetzen oder zumindest etwas weniger zum “Single Point of Failure” zu machen - und diese Projekte möchte ich kurz vorstellen.

Wichtig ist mir auch, daß diejenigen CA-Alternativen vorgestellt werden, die von freier Software inspiriert und unterstützt werden - also Convergence als Firefox-Plugin, oder die Forschungs- und Entwicklungsarbeiten beim EFF.

Die OSDC12 findet am 25. und 26. April in Nürnberg statt. Ein Rundum-Sorglos-Paket inkl. 2 Hotelübernachtungen und Konferenzdinner ist für € 950,- erhältlich. Das ist ein sehr guter Preis für ein hochklassiges Konferenzprogramm, das von Puppet über IPv6 bis zu Cloud-Workshops alle Aspekte des “State of the Art” in Opensource-zentrierten Rechenzentren abdeckt.

Mein Vortrag ist übrigens am 25. April um 14:00 - ich freue mich auf möglichst viel Publikum und eine ergiebige Diskussion!

Am 13.12. war die Prüfung, jetzt darf ich auch offiziell verkünden: Ich bin nun Dr.-Ing. (Doktor-Ingenieur). Ich habe meine Doktorprüfung mit “sehr gut” bestanden (der zweitbesten Note) und seit heute darf ich mit Übergabe der Promotionsurkunde meinen Titel auch führen.

Ich werde später noch ausführlich dazu bloggen (insbesondere über den Promotionsprozeß, das Schreiben der Diss etc.), hier vorab schon mal das wichtigste: Die Urkunde.

Vielen Dank an alle, die an diesem Erfolg beteiligt waren!

Voodoo Carrier IQ Detector report:



Build fingerprint:

Huawei/U8510/hwu8510:2.3.3/HuaweiU8510/C169B850:user/ota-rel-keys,release-keys



Carrier IQ elements found

? however it seems inactive

Detection score: 70





Test for: Linux kernel interfaces

(KERNEL_INTERFACES, weight 50)



    nothing found





Test for: Android logcat debugging log

(LOGCAT, weight 100)



    nothing found





Test for: Linux kernel drivers

(KERNEL_DRIVERS, weight 50)



    nothing found





Test for: System services

(SERVICES, weight 70)



    nothing found





Test for: ROM binaries and daemons

(SYSTEM_BINARIES, weight 70)



    found:    /system/bin/iqmsd

    found:    /system/lib/libiq_service.so

    found:    /system/lib/libiq_client.so





Test for: ROM configs

(ETC_CONFIG, weight 0)



    nothing found





Test for: Packages

(PACKAGES, weight 70)



    nothing found





Test for: Running processes

(RUNNING_PROCESSES, weight 200)



    nothing found





Test for: Suspicious classes

(SUSPICIOUS_CLASSES, weight 0)



    found:    com.carrieriq.iqagent.service.receivers.BootCompletedReceiver





Test for: Linux kernel dmesg log

(DMESG, weight 100)



    nothing found





-- 

Voodoo CarrierIQ Detector 2.0.5

Im Zuge meines Darstellungswechsels (vom Hochmittelalter ins Frühmittelalter, 10. Jahrhundert) wollte ich auch einen neuen Körperpanzer anschaffen, der etwas mehr Funktionalität als das alte Kettenhemd hat. Das ist als Schlagschutz nämlich denkbar ungeeignet und Stiche zum Körper sind im Freikampf keine Gefahr. Neben einem einigermaßen vollständigen vernieteten/gestanzten Kettenhemd, das in Gjermundbu gefunden wurde, existieren aus der Wikingerzeit wohl relativ wenige Belege für Rüstungsteile; am nächsten dran sind noch einige in Schweden (Birka) gefundene Stahllamellen, die wohl Teil eines Lamellenpanzers waren. Diese Panzer sind aus späteren Zeiten und anderen Regionen bekannt - da die Waräger eine rege Reisetätigkeit gen Byzanz unternommen hatten, ist es wohl nicht zu weit hergeholt, daß Lamellenpanzer im 10. Jahrhundert bekannt, wenn auch nicht unbedingt sehr beliebt waren. Sagas berichten wohl davon, daß Krieger ihre Rüstung wegen des zu warmen Wetters vor der Schlacht im Lager ließen und lieber ohne kämpften.

Einer der großen Nachteile des iPhone ist die Tastatur oder eher das Fehlen derselben. Die Bildschirmtastatur ist im Landscape-Modus zu raumgreifend und im Hochkant-Modus unbrauchbar; Umlaute sind schlecht zu erreichen (was sich mit iOS 5 ändern dürfte) und mir als Vieltipper geht es besonders auf die Nerven, daß man statt der LeertastemgernemmalmdenmBuchstabenm“m”merwischt. Besitzer eines Slider-Smartphones frohlocken hier, haben sie doch zumindest einen leichten Vorteil gegenüber uns Apfeljüngern (und den androidigen Kollegen, die ähnliche Probleme haben). 

Trekstor hat mit dem “i.gear Slider” nun eine pfiffige Alternative vorgestellt, die ich mir gleich angeschafft habe. Es handelt sich bei dem Gerät um ein Hardcase, an das unten eine Bluetooth-Tastatur angeschnallt ist. Diese Tastatur wird von einem LiIon-Akku gespeist, der eine Standbyzeit von bis zu 45 Tagen haben und sich für 8 Stunden Dauerbetrieb eignen soll. 

Das Tastenfeld ist etwa 10,5cm breit und 2,4cm hoch - für die einzelne Taste bleibt bei 4 Tastenreihen eine Höhe von etwa 6mm und eine Breite von 8mm. Das ist sicherlich nicht Fullsize, aber eben doch größer als die Fitzelchen auf dem iPhone-Bildschirm.

I just noticed that the frame source code for sites using the “.de.vu” Subdomain redirection site was changed to incorporate JavaScript to mine for BitCoins. Was this intentional or was the site cracked? See the attached image for details - I cross-verified this with another .de.vu frameset, but there’s no sign of BitCoin on www.nic.de.vu.  The Bitcoinplus user who benefits from this has the ID “3286433”.

Das Wetter in Hamburg ist dieses Wochenende mies - schlecht für das Mittelalterlich Phantasie Spectaculum in Bahrenfeld und für das Hörnerfest, das bei Elmshorn stattfindet. Für uns hieß das, daß ein kurzer Ausflug in die Innenstadt (Saturn!) und Gammeln auf dem Sofa den Großteil der Samstagsplanung ausmachen würde. Auf dem Weg (dank der HVV ist der Weg von Barmbek ins Zentrum momentan eher indirekt) haben wir noch spontan einen Abstecher zum Kulturflohmarkt gemacht, der direkt vis-a-vis der U- und S-Bahn-Haltestelle war. Der Nieselregen hat dem Flohmarkt einen Dämpfer verpaßt, es hat sich aber trotzdem gelohnt.

Für die Dame gab’s einen Ring aus ungewöhnlich grünem Bernstein und für mich ein Buch über die Ausgrabungen in Haithabu, das aus den 40er Jahren stammt. Zum Glück ist der Finanzier dieser Veröffentlichung im Inhalt nicht zu erahnen und der Text sowie die Illustrationen sind wirklich sehr nützlich.

Im Saturn angekommen, bekam ich von einem kundigen Fachberater (genau, Sascha! Du bist gemeint!) direkt die Bluray-Version der Herr-Der-Ringe Extended Edition in die Flosse gedrückt - sehr feines Teil. Leider hat sich Warner wohl beim Mastern der deutschen Tonspur ein paar Schnitzer geleistet und so werde ich im August wohl noch ein Set Blurays bekommen. Das ist nur fair.

Insgesamt ein erfolgreicher Tag für die EC-Karte.