WE ARE ROOT

Debian Lenny soll aller Voraussicht am nächsten Wochenende (14. Februar 2009) vom Status testing in stable gehoben werden. Die derzeit aktuelle Version Debian Etch wird damit in den Status  oldstable wechseln.

Mit dieser Veränderungen ist auch eine Änderung der Paketbasis verbunden. Wer nämlich in der Paketverwaltung APT (Tools apt bzw. aptitude) einfach nur auf den stable-Zweig verweist, wird ab der Statusänderung plötzlich statt mit Etch-Paketen mit Lenny-Paketen versorgt.Dies führt dazu, dass nahezu alle installierten Pakete veraltet sein werden und nach einem Upgrade schreien.

weiterlesen…

Die Installation von Wordpress 2.7 DE lief zunächst – wie gewohnt – ohne Probleme. Ein nötiges Datenbankupgrade war auch in Sekunden erledigt.

Leider wurde aber in WP2.7 eine Funktion is_sticky eingeführt, die dazu führte, dass ein Plugin für “sticky posts” (Artikel, die immer oben auf der 1. Seite stehen) einen Fehler verursachte. Ein Löschen oder Verschieben des Plugins macht WP erst wieder nutzbar.

Nun scheint es so, dass das Plugin nicht mehr benötigt wird, aber die (sehr versteckte) Einstellung in der Artikelbearbeitung zerstört mein Template aus mir noch unbekannten Gründen.

Wordpress 2.7-Stickies zerstören Blog-Layout "Insomniac"

Da ich die neue Kernfunktion aber lieber nutze als das mittlerweile aktualisierte Plugin werde ich bis zur Lösung des Templateproblems keine Stickies einsetzen (und Euch damit nicht mehr Willkommen heißen) können.

Ein paar Worte zum – schon wieder – aktualisierten Design des Backends:  Mir gefällt es sehr viel beser als die Vorversion und man hat wieder ein paar mehr sinnvolle Funktionen zur Verfügung (z.B. QuickPress).

Alles in allem ist – schon allein wegen der Sicherheitsupdates die sicherlich in diesen Release einflossen – das Upgrade zu empfehlen.

Links:

• Download von WP 2.7 DE: http://wordpress-deutschland.org/download/deutsch/
• Informationen zum Sticky-Post: http://weiai.net/2008/12/wordpress-codesticky-posts-in-wordpress-27.html

Diese Version ist ein Sicherheitsrelease (Details) und behebt einen schwerwiegenden XSS-Exploit, desweiteren wurden einige kleinere Probleme behoben.

Es gibt einen Versionssprung von 2.6.3 auf 2.6.5, da eine gefakte 2.6.4 Version im Umlauf war. Eine Version 2.6.4 wurde niemals veröffentlicht.

Ein Upgrade-Paket mit den Differenzdateien von 2.6.3 zu 2.6.5 wurde wieder dankenswerterweise von WPD bereit gestellt. Das Update benötigt kein Upgrade der Datenbank ( /wp-admin/upgrade.php ).

via: WordPress Deutschland Blog – WordPress 2.6.5 veröffentlicht

Es wurde wieder mal ein kritischer Fehler in Wordpress entdeckt und die betroffene Komponente bereinigt.

Laut den Entwicklern handelt es sich um einen sehr kritischen Fehler, der im schlimmsten Fall (bei schlechter Webserverkonfiguration) zur Erlangung von root-Rechten, im anderen Fall wohl trotzdem zu soviel Rechten, um Schaden anrichten zu können, führen kann. (Uff, was für ein Satz, sorry )

Wie immer hat das Team von WPD bereits die Übersetzung durchgeführt (ist wahrscheinlich nicht einmal nötig bei diesem Fix) und stellte sowohl das komplette Paket als auch das sehr praktische Upgrade-Paket von 2.6.2 zur Verfügunung.

Vielen Dank dafür!

Links:

• WordPress 2.6.3 Sicherheitsrelease – WordPress Deutschland Blog.
• Bugreport (en): Snoopy “_httpsrequest()” Shell Command Execution Vulnerability

Nachdem die letzte Veröffentlichung (2.6.1) laut Releasenotes nur für Leute gedacht war, die bestimmte Probleme mit Ihrem Blog hatten, ist nun mit der 2.6.2 ein allgemeiner Bugfix-Release freigegeben worden, der zusätzlich eine Sicherheitslücke im Zusammenhang mit der Benutzerregistrierung schließt. Genaueres ist nicht bekannt gegeben worden.

Da die Upgrade-Pakete von Wordpress Deutschland sehr praktisch sind, aber nur immer die unterschiedlichen Dateien zur Vorversion beinhalten, musste ich die beiden Upgrade-Pakete zusammenfassen (2.6.2 über 2.6.1 drüberkopieren) und dann auf das Serververzeichnis kopieren. (In zwei Schritten ginge es natürlich auch.)

Danach noch <deinblog>/wp-admin/upgrade.php ausführen und das Update ist erledigt.

Links:

Wordpress Deutschland: WordPress 2.6.1 DE-Edition und Upgradepaket

Wordpress Deutschland: WordPress 2.6.2 DE-Edition und Upgradepaket

Ich wollte nur kurz mitteilen, dass dieser Blog von nun an mit Wordpress 2.6 DE läuft.

Ein Datenbankupdate war zwar nötig, die Umstellung ging aber problemlos. Mittlerweile waren vier Plugins aktualisierbar: WP-Sticky, WP-Codebox, Google Sitemap und Mail From – alle Updates verliefen fehlerfrei.

Ein Update scheint demnach vorbehaltlos empfehlbar.

Wow, wow, wow! Mehr fällt mir nicht ein, wenn ich sehe, was sich die Entwickler für die neue Wordpress-Version haben einfallen lassen. In dem folgenden Video ist erklärt, wie sich das Bloggen mit Wordpress 2.6 anfühlen wird:

Installiert habe ich es noch nicht, aber erste Meldungen scheinen alle positiv zu sein – wie eben bei den letzten Updates auch schon.

Das Team von Wordpress-Deutschland hat auch bereits die komplett eingedeutschte Version herausgebracht und somit steht einer Installation in diesem Blog nichts mehr im Weg.

Link: WordPress › Blog » WordPress 2.6

Link: WordPress Deutschland – Download DE-Version

Heimlich, still und leise hat das Wordpress-Team ca. 70 Sicherheitslücken und andere Probleme beseitigt und damit die neue Version 2.5.1 herausgebracht.

Die Version bringt wenig auffälliges Neues, da das meiste unter der Haube passierte.  So wurde z.B. der TinyMCE-Editor auf eine aktuellere Versionsnummer angehoben und eine neue kryptographische Funktion eingefügt, die Cookies besser absichern soll (siehe SECRET_KEY-Abschnitt im englischen Wordpress-Blog).

Das Upgrade ging mittels des Upgrade-Pakets von WPD problemlos und in einer Minute von statten. Danach war ein Upgrade der Datenbank mittels http://www.deinblogname.tld/wp-admin/upgrade.php nötig.

Weitere Infos und Download:

WordPress 2.5.1 veröffentlicht @ WordPress Deutschland Blog

WordPress 2.5.1@ WordPress.org (englisch)

Mein allerliebstes Lieblingsplugin ist in einer neuen Version erschienen. Diese behebt u.a. einen Fehler bei Zählen der Besucher in der aktuellen WP-Version 2.5.

Die Installtion ging ohne Probleme von statten.

Der Autor hat diese Version heraus gebracht, obwohl er die Arbeit an dem Plugin eigentlich schon eingestellt hatte. Vielen Dank redunzl, dass Du Dir doch noch einmal die Arbeit gemacht hast.

Link: semmelstatz @ kopfhoch-studio

Ich hatte etwas Zeit und konnte daher den Blog auch updaten auf die neue Wordpress-Version namens Brecker.

In einem anderen Beitrag hatte ich ja bereits auf die Liste der vielen Neuerungen hingewiesen.

Meine erste Bilanz: Gutes Release!

• Das neue Design im Admin-Bereich ist sehr “Web-2.0″-ig, aber etwas kontrastlos.
• Endlich wurden die Tags um eine Ajax-Suche nach bereits vorhandenen Tags bereichert. Das Plugin “ClickTags” ist damit des Amtes enthoben.
• Der Passwort-Strength-Test im Profil ist sicherlich eine nette, sinnvolle Idee.

Mehr Details fallen mir vielleicht noch mit der Zeit auf.

Das Upgrade erfolgte auf jeden Fall ohne ein einziges Problem und kann daher uneingeschränkt empfohlen werden.

Hinweis: Sollte jemand beim Upload von Bilder nach dem Upgrade ein Problem haben, könnte dieser Beitrag bei adminlife.net helfen.

Heute wurde mit gut zwei Wochen Verzögerung die neue Wordpress Version veröffentlicht. Die Version 2.4 wird übersprungen und daher heißt die akutelle Version nun 2.5.

Beim Lesen der release news wird einem ganz schwindelig, denn das Team war offensichtlich sehr fleißig. So wurden viele Veränderungen am Backend vorgenommen, die die Produktivität und Sicherheit erhöhen werden. Ich persönlich werde schnellstmöglich die neue Version installieren und dann einen Praxisbericht abgeben.

Bis dahin versucht es selbst oder lest Euch die viiiielen Neuerungen durch. Eine – nämlich die ShortCodes – hatte ich ja bereits gepostet.

Infos: WordPress 2.5 @ Wordpress-Blog

ACHTUNG: Die in diesem Artikel besprochenen Versionen von duplicity ist bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

Es wurde heute eine neue Version von duplicity veröffentlicht. Es handelt sich dabei laut Entwickler eher um ein Wartungsrelease.

Die Installation ging wieder problemlos vonstatten und ist in diesem Artikel beschrieben.

Direkter Download: Version 0.4.10

Mehr Info: duplicity

weiterlesen…

ACHTUNG: Die in diesem Artikel besprochenen Versionen von duplicity ist bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

Es wurde (schon vor einiger Zeit) eine neue Version von duplicity veröffentlicht.

Die Installation ging wieder problemlos vonstatten und ist in diesem Artikel beschrieben.

Direkter Download: Version 0.4.9

Mehr Info: duplicity

weiterlesen…

Laut heise.de arbeiten Forscher von Microsoft an einer neuen, effektiveren Methode zur Verbreitung von Windows-Updates.

Die Idee ist, einen Wurm auszusetzen, der “infizierte” Systeme updated und sich dann in Richtung der nächsten Clients aufmacht.

Auch wenn diese Idee dem Bittorrent-Mechanismus gleichkommt und sicherlich auch die Last von Microsoft-Servern nehmen würde, kann ich mich mit damit nicht wirklich anfreunden. Schon allein die Vorstellung, dass ein Hersteller eines von mir erworbenen Softwareproduktes ungefragt meinen Rechner über eine mehr oder weniger bekannte Sicherheitslücke infiltriert behagt mir gar nicht – mal ganz abgesehen von dem Straftatbestand der Computermanipulation.

Weiterhin ist es auch im Hinblick auf den “Bundestrojaner” interessant, dass Microsoft diese Verbereitungsmethode für möglich und effektiv hält. Sind unsere Systeme doch nicht so sicher wie wir glauben?

Mehr Infos hier: Wurm statt Windows-Update – heise Security

Wieder mal ist ein kleiner Sicherheitsrelease von Wordpress erschienen und hier aktiviert worden. Upgrade mittels DE-Upgradepack verliefproblemlos.

Weitere Infos wie immer im WordPress Deutschland Blog.

An mir ist’s vorbeigegangen, daher hier noch einmal der Hinweis, damit es auch der letzte mitbekommt: Es gibt ein Sicherheitsupdate für Wordpress!

Die Version behebt verschiedene sicherheitsrelevante Probleme, u.a. dass nicht autorisierte Personen die Entwürfe lesen oder durch DB-Fehlermeldungen Informationen über die Datenbankstruktur erlangen könnten.

Das Upgrade via DE-Upgradepack hat – wieder einmal – problemlos geklappt.

Links:

WordPress Deutschland: WordPress 2.3.2 DE-Edition und Upgradepaket

WordPress.org: WordPress 2.3.2 (englisches Entwicklerstatement)

Der geplagte Sysadmin hat den ganzen Tag soviel zu tun – eines davon ist, die ausstehenden Patches im Auge zu behalten. Üblicherweise werden dazu RSS-Feeds und Mailinglisten abonniert und im Falle von Debian regelmäßig

aptitude update && aptitude dist-upgrade

ausgeführt, um nach Aktualisierungen der Debian-Pakete zu suchen.

Was für selbst compilierte Software nicht so richtig geht, ist für die Debian-Pakete möglich: Die Automatisierung des Checks.

Es gibt einige Admins, denen der manuelle Updatevorgang auch noch zu müselig ist und die das Update (mit Parametern) ebenfalls via cron erledigen. Ich bin allerdings der Meinung, dass dies zu “gefährlich” ist, da es in manchen Fällen vorkommt, dass die geupdateten Dienste nicht mehr starten oder andere Fehler produzieren. Ein waches wachsames Auge des Sysadadmins kann da schon helfen.

Also suchte ich nach einer Möglichkeit zeitnah über neue Pakete und deren Bugfixes informiert zu werden und fand sie:

apticron informiert via Mail, sobald neue Pakete zur Verfügung stehen. Im Zusammenspiel mit dem Perl-Skript apt-listbugs sieht man in der Infomail (und auch bei jedem manuellem Updatevorgang) auch gleich, welche Bugs gefixt wurden und kann so nach Wichtigkeit das Update planen.

So sieht eine Beispielmail dann im Ergebnis aus:

apticron report [Sat, 01 Dec 2007 06:35:14 +0100]
========================================================================

apticron has detected that some packages need upgrading on: 

	fqdn.tld
	[ 123.123.123.123 ]

The following packages are currently pending an upgrade:

	libmysqlclient15off 5.0.32-7etch3
	mysql-client-5.0 5.0.32-7etch3
	mysql-common 5.0.32-7etch3
	mysql-server-5.0 5.0.32-7etch3

========================================================================

Package Details:

Lese Changelogs...
--- Änderungen für mysql-dfsg-5.0 (libmysqlclient15off mysql-client-5.0 mysql-common mysql-server-5.0) ---
mysql-dfsg-5.0 (5.0.32-7etch3) stable-security; urgency=high

  * SECURITY:
    Fix for CVE-2007-5925: The convert_search_mode_to_innobase function in
    ha_innodb.cc in the InnoDB engine in MySQL 5.1.23-BK and earlier allows
    remote authenticated users to cause a denial of service (database crash)
    via a certain CONTAINS operation on an indexed column, which triggers an
    assertion error. (closes: #451235)

 -- Norbert Tretkowski <nobse@debian.org>  Thu, 15 Nov 2007 18:51:30 +0100

mysql-dfsg-5.0 (5.0.32-7etch2) stable-security; urgency=high

  * Security release prepared for the security team by the Debian MySQL
    maintainers. The patches were mostly taken from the Ubuntu project.
  * CVE-2007-2583: The in_decimal::set function in item_cmpfunc.cc in MySQL
    allowed context-dependent attackers to cause a denial of service (crash)
    via a crafted IF clause that results in a divide-by-zero error and a NULL
    pointer dereference. Closes: #426353
  * CVE-2007-2691: MySQL did not require the DROP privilege for RENAME
    TABLE statements, which allows remote authenticated users to rename
    arbitrary tables. Closes: #424778
  * CVE-2007-2692: The mysql_change_db function in MySQL did not restore
    THD::db_access privileges when returning from SQL SECURITY INVOKER
    stored routines, which allowed remote authenticated users to gain
    privileges. Closes: #424778
  * CVE-2007-3780: It was discovered that MySQL could be made to overflow
    a signed char during authentication. Remote attackers could use crafted
    authentication requests to cause a denial of service.
  * CVE-2007-3782: Phil Anderton discovered that MySQL did not properly
    verify access privileges when accessing external tables. As a result,
    authenticated users could exploit this to obtain UPDATE privileges to
    external tables.

 -- Christian Hammers <ch@debian.org>  Tue,  6 Dec 2007 21:54:01 +0100

========================================================================

You can perform the upgrade by issuing the command:

	aptitude dist-upgrade

as root on fqdn.tld

It is recommended that you simulate the upgrade first to confirm that
the actions that would be taken are reasonable. The upgrade may be
simulated by issuing the command:

	aptitude -s -y dist-upgrade
--  apticron

Zu installieren sind beide Tools ganz leicht über aptitude.

Diesmal nur ganz kurz: Der Termin für WP 2.4 wurde aufgrund von Familienzuwachs des Hauptentwicklers auf den Anfang des nächsten Jahres verschoben. Ich denke, so lange keine besonderen Probleme mit auftauchen sind wir ja auch mit unserer Version 2.3.1 zufrieden (oder eben 2.2.3, gell, Matthias?! *wink* ).

Im Blogartikel von WPD findet man nicht nur den Link zu aktuellen Roadmap sondern auf einen Verweis auf eine wöchentliche Zusammenfassung der Entwicklung Richtung 2.4 – sehr interessant wie ich finde.

Zum Artikel @ WordPress Deutschland Blog: Termin für WordPress 2.4

Ein paar Stunden – naja diesmal Tage wegen dem Wochenende – nach der Veröffentlichung von Wordpress 2.3.1 auf Wordpress.org hat das Team von Wordpress-Deutschland.org die aktualisierte, vollständig deutsche Version zur Verfügung gestellt. Es handelt sich um ein Sicherheitsupdate inkl. ein paar Verbesserungen bzgl. des Taggingsystems.

Ich habe wieder dankbar den Service des Upgradepakets angenommen in dem man nur die neuen, geänderten Dateien findet und mit dem ein Upgrade zum Kinderspiel wird.

Vielen Dank!

Schwierigkeiten beim Upgrade hatte ich keine, aber ein vorheriges Backup der Datenbank ist wie immer Pflicht.

• Zu den Downloads der deutschen Versionen…
• Zum Entwicklerstatement (englisch)

Hier nur ein paar aktuelle Nachrichten zu – teils krassen – Sicherheitsproblemen kurz notiert:

• Höhere Zugriffsrechte durch Schwachstelle in Linux-Kernel
• F-Secures Antivirus für Server prüft einige Dateien nicht
• Webmin ermöglicht Ausführung beliebiger Befehle
• Schwachstellen in IBM WebSphere erlauben DoS-Attacke

Die Bugs sind bereits alle gefixt, die Updates sollten schnellstens eingespielt werden.

Offen ist noch dieser, zumindestens gibt es noch kein neues Debian-Paket:

• Schwachstelle in OpenSSL

Aber nicht nur wir müssen unsere Hausaufgaben machen:

• Adobes Webserver sperrangelweit offen