Diese Anleitung veranschaulicht, wie man PHP5 mit Suhosin auf einem Mandriva 2007 Spring Server sicherer machen kann. Von der Suhosin Projekt Seite: “Suhosin is an advanced protection system for PHP installations that was designed to protect servers and users from known and unknown flaws in PHP applications and the PHP core. Suhosin comes in two independent parts, that can be used separately or in combination. The first part is a small patch against the PHP core, that implements a few low-level protections against buffer overflows or format string vulnerabilities and the second part is a powerful PHP extension that implements all the other protections.” Mehr… »

Apple beseitigt vier kritische Sicherheitslücken in Safari, durch die Angreifer z.B. Trojaner einschmuggeln oder eine Cross-Site-Scripting-Lücke (XSS) ausnutzen können. Zwei der Programmfehler betreffen ausschließlich die Windows-Version des Webbrowsers. So kann Safari unter Windows durch den Download von Dateien mit präparierten Namen zum Absturz gebracht werden. Außerdem ist dadurch das Einschleusen von Schadcode möglich. Zudem läßt sich bei Webseiten der Inhalt der Adressleiste ändern, ohne dass die zugehörige Seite geladen wird. Dieser Fehler war eigentlich bereits mit der Beta 3.0.2 behoben, mit Version 3.1 hatten die Entwickler ihn aber wieder eingeführt. Sowohl unter Windows als auch Mac OS X können Regular Expressions in JavaScript einen heapbasierten Pufferüberlauf verursachen, der zum Einschleusen von Schadcode verwendet werden kann. Zudem werden durch das Einfügen eines Doppelpunkts in die Adresse einer Webseite, Cross-Site-Scripting-Angriffe ermöglicht. Anwender, die nicht die automatische Update-Funktion ihres Browsers nutzen, sollten so schnell wie auf Version 3.1.1 umsteigen.

In dieser Anleitung möchte ich die Installation von Xoops auf Ubuntu veranschaulichen. Ich habe die Ubuntu 6.10 Server Edition verwendet, aber es wird wahrscheinlich auch auf anderen Systemen funktionieren. Xoops ist ein modernes Content-Management-System, das mit einer Vielzahl von Modulen erweitert werden kann. Weitere Informationen über Xoops findest Du auf der offiziellen Webseite. Mehr… »

Diese Anleitung veranschaulicht, wie man eyeOS auf einem Standard Linux System installiert. eyeOS ist eine Art Betriebssytem, das online ausgeführt wird, d.h. es verwaltet Dateien auf dem Server und ermöglicht dem Benutzer, Dateien hoch- bzw. runter zu laden und zu bearbeiten. Für Demonstrationszwecke verwenden wir hier ein Debian 4.0 System. Zuerst müssen wir einen Apache Web Server und PHP installieren. Falls Du dies bereits installiert hast, kannst Du direkt zu Schritt 2 übergehen.

Diese Anleitung veranschaulicht Schritt für Schritt, wie man einen Mandriva 2007 Free Edition basierten Server einrichtet, der alle Dienste bietet, die von ISPs und Hostern benötigt werden (Web Server (SSL-fähig), Mail Server (mit SMTP-AUTH und TLS!), DNS Server, FTP Server, MySQL Server, POP3/IMAP, Quota, Firewall, etc.).

Novell will mit SUSE Linux Enterprise JeOS ein Werkzeug anbieten, dass Software-Hersteller nutzen können, um eigene Software-Appliances zu entwickeln. Das SLE JeOS (just enough operating system) befindet sich noch in der Testphase und basiert auf Novells Serverbetriebssystem Suse Linux Enterprise Server (SLES). Alle für SLES zertifizierten Anwendungen sollen automatisch auch für SLE JeOS zugelassen sein. Die Suse-Appliances sollen sowohl auf x86-Hardware, als auch auf virtuellen Maschinen mit paravirtualisiertem Kernel laufen. Entsprechende Zielplattformen sind der freie Hypervisor Xen, VMwares ESX Server und Microsofts Hyper-V (bislang noch in der Beta-Phase). Novell tritt mit Suse Linux Enterprise JeOS in Konkurrenz zu einigen anderen Anbietern. Canonical hatte seine abgespeckte Ubuntu JeOS Edition im vergangenen September veröffentlicht. Marktführer bei reduzierten Linux-Distributionen für Appliances ist das US-Unternehmen rPath, das mit rPath Linux, rBuilder und rBuilder Online gleich mehrere entsprechende Werkzeuge anbietet. Novell wird sich zudem offiziell am LimeJeOS-Projekt beteiligen, das eine Minimalversion von OpenSuse zum Ziel hat. Vom Suse Linux Enterprise JeOS ist ab sofort eine Betaversion für verschiedene Virtualisierungslösungen verfügbar.

Diese Anleitung veranschaulicht, wie man E-Mails nach Image Spam mit FuzzyOCR überprüfst. FuzzyOCR ist ein Plugin für SpamAssassin, der auf ungewollte Postwurfsendungen ausgerichtet ist, die Images als Hauptinhalt beinhalten. Unter Verwendung verschiedener Methoden analysiert es den Inhalt und die Eigenschaften von Images, um zwischen normalen Mails (ham) und Spam Mails unterscheiden zu können. FuzzyOCR versucht die Netzbelastung gering zu halten indem es nur die Mails überprüft, die von SpamAssassin noch nicht als Spam eingestuft worden sind, somit wird unnötiger Arbeitsaufwand vermieden. Mehr… »

Red Hat wird in naher Zukunft kein Desktop-Linux für private Endanwender anbieten. Das Desktop-Team des Unternehmens begründet dies damit, dass der Markt von einem Anbieter dominiert werde und sich mit Servern mehr Geld verdienen lasse, als mit Desktop-Systemen. Allerdings will der Softwarehersteller weiterhin das Fedora-Projekt unterstützen, in das der Anbieter nach seinem Rückzug aus dem Boxengeschäft seine Distribution ausgelagert hatte. So sollen alle entwickelten Client-Techniken auch zukünftig an die Community weitergegeben werden. Auch das für den Einsatz in Entwicklungsländern geplante Global-Desktop-Projekt, soll trotz inzwischen einjähriger Verspätung fortgeführt werden. Selbstverständlich bleibt auch der Enterprise-Desktop für Geschäftskunden im Programm. Mit der Ankündigung des Gnome-Online-Desktops sah es zwischenzeitlich so aus, als würde Red Hat sein Engagement für Desktops erhöhen, allerdings ist der für die Online-Desktop-Pläne maßgebliche Entwickler Havoc Pennington nicht mehr bei Red Hat beschäftigt.

Von der TrueCrypt Seite: “TrueCrypt is a software system for establishing and maintaining an on-the-fly-encrypted volume (data storage device). On-the-fly encryption means that data are automatically encrypted or decrypted right before they are loaded or saved, without any user intervention. No data stored on an encrypted volume can be read (decrypted) without using the correct password/keyfile(s) or correct encryption keys. Entire file system is encrypted (e.g., file names, folder names, contents of every file, free space, meta data, etc).” Mehr… »

In Firefox ist eine neue Sicherheitslücke in der JavaScript-Engine aufgetaucht, über die Schadcode ausgeführt und der Webbrowser zum Absturz gebracht werden kann. Allerdings ist der Programmfehler bei abgeschaltetem JavaScript ungefährlich. Dennoch haben die Mozilla-Entwickler mit Version 2.0.0.14 bereits ein Bugfix bereit gestellt, das den Fehler beseitigt, ansonsten aber keine Neuerungen bietet. Die beschriebene Schwachstelle findet sich auch in SeaMonkey und Thunderbird, für die es aber noch keine Updates gibt. Die letzten Sicherheitspatches für Firefox wurden auf den E-Mail-Client Thunderbird meist erst mit drei Wochen Verspätung übertragen. Für die bei den anderen Mozilla-Applikationen im März beseitigten Sicherheitslücken, gibt es bislang immer noch kein Pendant für Thunderbird. Firefox 2.0.0.14 ist sowohl als Download, als auch über die automatische Updatefunktion für Windows, Linux und MacOS X verfügbar.