Archiv der Kategorie ‘Security‘

 
 

PHP: Everything you need to know about secure password hashing

On each site you need to register, your password has to be saved. This is typically done in a database. There are several ways to do this and some of them are good practice, other a very bad idea.

Den ganzen Beitrag lesen...

PHP: Easy and secure password hashing class

Everybody talks about security but most of the people still save md5(password) in their databases. This is not funny. Reversing a simple and even a average password is not that hard.
I once wrote this tiny class that generates secure enough password hashes.

Den ganzen Beitrag lesen...

Wordpress: Remote Admin Reset Password Exploit | Wie es dazu kommen konnte

Wieder einmal eine Lücke in Wordpress. Ich mach mir mal die Mühe und zeige die Umstände wie es dazu kommen konnte.

Den ganzen Beitrag lesen...

phpMyAdmin 3 und ein leeres root Passwort

Heute hatte ich mal wieder die Ehre einen Debian Etch Webserver aufzusetzten. Standardmäßig mit apt-get install mysql-server-5.0 Mysql installiert, das neueste stabile phpMyadmin in /var/www entpackt und eingerichtet. Da Mysql5 unter Etch bei der Installation standardmäßig kein root Passwort abfragt wollte ich das schnell per phpMyAdmin machen musste jedoch feststellen dass dies nicht ging.

In der phpMyAdmin Dokumentation fand sich den auch der Grund, der Login mit leeren Passwörtern ist ab Version 3 per default nicht gestattet:

http://www.phpmyadmin.net/documentation/#config

Die Einstellung um dies zu deaktivieren lautet:

$cfg['Servers'][$i]['nopassword'] = true;

Allow attempt to log in without password when a login with password fails. This can be used together with http authentication, when authentication is done some other way and phpMyAdmin gets user name from auth and uses empty password for connecting to MySQL. Password login is still tried first, but as fallback, no password method is tried.

Ich finde diese Einstellung macht Sinn da es sonst bei einer unbewussten Installation von Mysql einem möglichen Angreifer ein unnötiges Tor öffnet.

Sicherheit: Kritische OpenSSL Lücke in Ubuntu

Es wurde ein Sicherheitslücke im neuen Ubuntu Linux 8.04 LTS System gefunden welche durch präparierte Pakete eine Denial of Service Attacke in Programmen die gegen OpenSSL gelinkt sind verursachen kann. Es können aber auch Ruby Scripte genutzt werden um die Attacke durchzuführen. Es ist sowohl ein Denial of Service Angriff möglich, als auch das Einschleusen von Fremdcode welcher dann mit den aktuellen User Rechten ausgeführt wird.

Es wird empfohlen alle betroffenen Systeme mit der OpenSSL Schwachstelle upzudaten: Ubuntu Linux LTS 8.04 und Kubuntu, Edubuntu, and Xubuntu.

Das Updaten geht so:

apt-get update
apt-get upgrade

Damit die Änderungen auch übernommen werden ein Neustart:

sudo reboot

Quelle:
http://www.linuxsecurity.com/content/view/139127?rdf