Websicherheit.org

• Byte-Range-Fehler in Apache wird nach gebessert – @heise.de
• Google führt Widerspruch gegen Erfassung von WLAN-Access-Points ein – @golem.de
• Keine Patches mehr für Macs mit PowerPC – @zdnet.de
• BSI veröffentlicht IT-Grundschutz-Überblickspapier zur Smartphone-Sicherheit – @bsi.bund.de
• Urheberrecht und Bildlizenzen – Überblick und Hinweise – @tecchannel.de

• Linux.com gehackt und nicht mehr erreichbar – @heise.de
• Steganos Konto-Ticker jetzt zur kostenlosen Nutzung verfügbar – @steganos.com
• Hacker stehlen 6 Millionen Kundendaten von BuyVIP – @golem.de
• Die Top 5 Spam-Trends der nächsten 12 Monate – @eleven.de

• GPRS-Verbindungen problemlos abhörbar – @heise.de
• Blackberry-Server führt Schadcode mittels präparierte Bilder aus – @heise.de
• Sicherheitslücken im ISC-DHCP-Server geschlossen – @heise.de
• Warnung vor 3D-Sicherheitsverfahren bei Kreditkarten – @heise.de
• GEZ will, das Vermieter Daten über den Mieter mitteilen – @derwesten.de
• Sicherheitslücke im Linux-Kernel ermöglicht Ausweitung von Rechten – @tecchannel.de

• Kritische Lücke im Mail-Server Exim geschlossen – @heise.de
• IE löscht Flash-Cookies, nicht jedoch die von Silverlight – @pcwelt.de
• VOLKSZÄHLUNG 2011 Online-Datenübertragung ohne HTTPS – @golem.de

Die Entwickler der Linux Distribution Ubuntu 10.04 (Lucid Lynx) haben über 40 Sicherheitslücken im Kernel geschlossen.
Alleine 9 Sicherheitslücken lassen sich dazu ausnutzen, das ein Angreifer Root-Privilegien auf ein System erlangen kann. Weitere 14 Sicherheitslücken ermöglichen eine DoS-Attacke.
Die Patches sollten zeitnah eingespielt werden.

• Android Market: Risiko durch Ferninstallation – @heise.de
• Scharfe Kritik am De-Mail-Gesetzentwurf im Bundestag – @heise.de
• Polizei Hamburg verhaftet Abofallenbetreiber – @zdnet.de
• Linux anfällig für USB-Würmer – @heise.de

Durch Zufall bin ich auf dieses Angebot bei Pearl.de gestoßen.
Ein Linux Ubuntu 8.04 LTS Desktop Edition OEM (Linux und OEM?)
Statt knapp 40 Euronen nur knapp 5 Euronen.
Ehrlich, ich habe blöd aus der Wäsche geschaut, als ich das gelesen hatte.
Ubuntu Linux (LTS) kann man sich kostenlos herunter laden. Und man hat dann auch noch die aktuellste LTS-Version von Ubuntu.
Warum also knapp 5 Euro für die veraltete CD bezahlen?
Ist da ein Handbuch dabei? Steht nichts davon in der Produktbeschreibung. Selbst die Beschreibung im Katalog von Pearl ist magerer als das, was auf der Webseite offeriert wird.

Nun gibt es ja immer noch den einen oder anderen PC-Anwender, der leider immer noch mit einem schmalbandigen Internetanschluß (analoges Modem / ISDN) unterwegs ist.
In einem solchen Fall kommt ein Download der CD natürlich nicht in Frage.
Das dauert definitiv zu lange. Aber in den meisten Fällen gibt es ja noch Freunde oder Bekannte, die einen DSL-Anschluss haben, und mal fix das ISO-Image der gewünschten Ubuntu-Version herunter laden können.
Und wenn es den nicht gibt, dann versendet die Ubuntu Foundation eine (oder mehrere CD’s) kostenlos zu.
Dauert zwar etwas, aber wenn man sein Linux-Projekt zeitnah vor plant, dann sollte das genügen.
Und wenn es schneller sein soll, dann begibt man sich an einen gut sortierten Kiosk und schaut mal bei den Computer- oder PC-Zeitschriften, ob da nicht ein Heft mit der gewünschten Ubuntu-Version CD/DVD dabei ist. Vielleicht gibt es dort das eine oder andere Sonderheft, das sich thematisch auf Ubuntu spezialisiert hat, und gleich im Heft mit Tipps&Tricks zur Seite steht.

Ansonsten, Hilfedokumentationen gibt es im Internet ausreichend.
Bei galileo-press.de habe ich gleich 2 gute kostenlose Quellen gefunden:

• 4 Stunden Video-Training zu Ubuntu online
• Das umfassende Handbuch, aktuell zu Ubuntu 10.04 LTS “Lucid Lynx”

Also mit ein wenig Recherche bekommt man sein Ubuntu mit Dokumentation für Umme.
Daher ist es für mich unfassbar, dass das mal knapp 40 Euro bei Pearl gekostet haben soll.
Und die 5 Euro für eine LTS Version (8.04), welche nur noch bis April diesen Jahres mit Updates versorgt wird (die Server-Version wird unterstützt bis April 2013 – aber diese Kundschaft wird von Pearl meiner Meinung nach nicht angesprochen) ist schon etwas happig.
Ok, wer sich nicht auskennt und bei Pearl öfter bestellt hat, und immer gute Erfahrungen gemacht hat, dem mag das nicht stören.
Aber clever ist es nicht sonderlich.

Update:
Wer meint mit den 4,90 Euro trotzdem günstig weg zu kommen, der irrt.
Mal davon ausgehend, das nur die eine CD bestellt wird, dann kommt folgende Rechnung zusammen:

Also zusätzlich der Mindermengenzuschlag plus die Versandkosten (per Nachnahme) = schlappe 14,30 Euro.

• OpenBSD: Audits liefern keine Anzeichen für Backdoors – @heise.de
• Offene WLAN-Hotspots: Gratis-WiFi kann teuer werden – @pcwelt.de
• Mehrere Schwachstellen in IBM Lotus Notes Traveler 8.x – @techchannel.de
• Falsches Microsoft-Update per Spam-Mail – @pcwelt.de
• Malware in der Cloud – @viruslist.com

Redhat und Debian haben Patches für eine Sicherheitslücke im freien Mailserver Exim bereitgestellt.
Die Lücke erlaubte es einem Exim-User, sich erweiterte Rechte zu beschaffen.
Details zu den Update’s findet man hier bei Redhat, bzw. Debian.
Andere Distributoren werden mit Patches zu Exim folgen.

Update:
Die Distributoren SUSE und Ubuntu haben ebenfalls entsprechende Patches zur Exim-Sicherheitslücke bereit gestellt.

Heise.de schreibt einleitend:

Auf der Sicherheits-Malingliste Full Disclosure präsentiert Dan Rosenberg ein kleines Demo-Programm, das mehrere Sicherheitslücken so geschickt kombiniert, dass es damit auf Linux-Systemen Root-Rechte erlangen kann.[...]

Panik? Eher nicht. Im obigen Artikel von Heise ist zu lesen:

[...] So unterstützt Redhat per Default kein Econet und Ubuntu und Debian haben die ausgenutzten Econet-Lücken bereits gepatcht. [...]
.
.
.
[...] Redhat erklärt jedoch bereits, dass Red Hat Enterprise Linux 4, 5, 6, und Red Hat Enterprise MRG für CVE-2010-4258 nicht anfällig seien. (ju)

Problem bereits behoben, bevor es auf irgend eine Weise brisant werden könnte.
Warum nun heise.de hier diese Meldung mit “Alert” kennzeichnet bliebt mir verschlossen.