Ich bin nicht verrückt, nur technisch begabt ...
On each site you need to register, your password has to be saved. This is typically done in a database. There are several ways to do this and some of them are good practice, other a very bad idea.
Den ganzen Beitrag lesen...
Everybody talks about security but most of the people still save md5(password) in their databases. This is not funny. Reversing a simple and even a average password is not that hard.
I once wrote this tiny class that generates secure enough password hashes.
Den ganzen Beitrag lesen...
Wieder einmal eine Lücke in Wordpress. Ich mach mir mal die Mühe und zeige die Umstände wie es dazu kommen konnte.
Den ganzen Beitrag lesen...
Heute hatte ich mal wieder die Ehre einen Debian Etch Webserver aufzusetzten. Standardmäßig mit apt-get install mysql-server-5.0 Mysql installiert, das neueste stabile phpMyadmin in /var/www entpackt und eingerichtet. Da Mysql5 unter Etch bei der Installation standardmäßig kein root Passwort abfragt wollte ich das schnell per phpMyAdmin machen musste jedoch feststellen dass dies nicht ging.
In der phpMyAdmin Dokumentation fand sich den auch der Grund, der Login mit leeren Passwörtern ist ab Version 3 per default nicht gestattet:
http://www.phpmyadmin.net/documentation/#config
Die Einstellung um dies zu deaktivieren lautet:
Allow attempt to log in without password when a login with password fails. This can be used together with http authentication, when authentication is done some other way and phpMyAdmin gets user name from auth and uses empty password for connecting to MySQL. Password login is still tried first, but as fallback, no password method is tried.
Ich finde diese Einstellung macht Sinn da es sonst bei einer unbewussten Installation von Mysql einem möglichen Angreifer ein unnötiges Tor öffnet.
Es wurde ein Sicherheitslücke im neuen Ubuntu Linux 8.04 LTS System gefunden welche durch präparierte Pakete eine Denial of Service Attacke in Programmen die gegen OpenSSL gelinkt sind verursachen kann. Es können aber auch Ruby Scripte genutzt werden um die Attacke durchzuführen. Es ist sowohl ein Denial of Service Angriff möglich, als auch das Einschleusen von Fremdcode welcher dann mit den aktuellen User Rechten ausgeführt wird.
Es wird empfohlen alle betroffenen Systeme mit der OpenSSL Schwachstelle upzudaten: Ubuntu Linux LTS 8.04 und Kubuntu, Edubuntu, and Xubuntu.
Das Updaten geht so:
Damit die Änderungen auch übernommen werden ein Neustart:
Quelle:
http://www.linuxsecurity.com/content/view/139127?rdf
