Eine Reihe schwerwiegender Bugs trifft aktuell auf alle Owncloud-Instanzen. Mit der CVSS1 Höchstwertung von 10 sticht einer besonders hervor:2 In Containern gehostete Systemen lassen normalerweise nicht zugängliche PHP-Umgebungsvariablen abrufen. Dort können Credentials von Datenbanken, Mailservern und sonstigen Tokens enthalten sein. Selbst wenn dieses in einem Webserver (phpinfo) deaktiviert worden sei. Der Advisory schreibt: The “graphapi” app relies on a third-party library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver (…) such as the ownCloud admin password, mail server credentials, and license key. Read more

Schade, eigentlich ist das genau das Szenario, welches ich bei der Microsoft-Aktivierung zuerst vermutet hätte. Dass dem nun Apple zuvorkommt überrascht mich aber auch nicht sonderlich. Was ist passiert? Der zentrale ocsp.apple.com Server war in der Nacht von gestern auf heute ausgefallen oder zumindest nicht erreichbar1. Dumm nur, dass macOS bei jedem Öffnen einer App diesen versucht zu erreichen, ob zum Beispiel ein Zertifikat abgelaufen2 ist oder eine App zurückgezogen wurde oder noch mehr Magic. Denn das alles ist natürlich nicht transparent, closed-source und nicht nachprüfbar. Read more

heute habe ich eine Email mit folgendem Header erhalten: Arc-Authentication-Results: i=1; mx.microsoft.com 1; spf=none; dmarc=none; dkim=none; arc=none Erhalten: from xxxxxxxx.protection.outlook.com Darf ich laut und böse fragen, was dieser “Protection” outlook.com Server so macht wenn gängige Spam- und Sicherheitsfeatures nicht implementiert sind? Zum (Selbst-)Überprüfen gibt es im Web zahlreiche Schnelltools. Ich gebe immer gerne diesen Link an die Hand und versuche mit gutem Beispiel voraus zu gehen bevor in die Details wie IP-Stripping, Pentests oder IT-Security eingestiegen wird: Read more

Die eigene gitea Instanz - Teil IV Sowas findet man nur, wenn man ausgiebig testet. Im aktuellen Build von gitea befindet sich in den Wiki Templates ein Bug: template: repo/wiki/view:48:14: executing "repo/wiki/view" at <(not $.DisableHTTP) (and (not $.DisableSSH) (or $.IsSigned $.ExposeAnonSSH))>: can't give argument to non-function not $.DisableHTTP Ursache ist eine falsch gesetzte Klammer im besagten Template File. Abhilfe schafft ein manuelles Patchen der entsprechende Zeile da noch nicht im aktuellen Release. Read more