[youtube]http://www.youtube.com/watch?v=PL8CD8PjVmA[/youtube]
Der gute Herr Khil hat 2012 nochmal eine neue Aufführung seines erfolgreichsten Songs gehabt und diese wurde natürlich auch aufgezeichnet. Da manche Leute diesen Song beim Auflösen mancher Facebook Diskussionen nicht kennen eben hier die aktuelle Version.
Das Publikum hat sichtlich Spaß an seinem Auftritt gehabt (da wäre ich auch gerne dabei gewesen).
Es gibt ja nach wie vor diesen alten und sehr krepeligen Shop namens "xt:commerce 3". Da er Open Source ist wurde er auch immer mal wieder geforkt. Beispielsweise durch Gambio oder modified
Die aktive Entwicklung wurde allerdings irgendwann 2008 komplett eingestellt. Seitdem gibt es keine wirklichen Patches mehr für diesen Shop.
Nun haben die Entwickler von Gambio eine kleine Lücke entdeckt, die sie als sicherheitskritisch einstufen. Unter ganz speziellen Umständen: Nämlich der Admin ist im Shop eingeloggt und schaut gerade via "Who is online" die letzten Besucher an und ein Referer hat zufällig eine bösartige Form angenommen, dann könnte der Shop gekapert werden.
Deshalb ist die Lösung auch ganz simpel:
Beim Auslesen des Links aus der Datenbank werden sämtliche HTML Zeichen durch Unicode ersetzt.
$whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']);
Gut, diese Zeile war im Original noch nicht drin. Deshalb könnte jemand mit dem Anhang "" tatsächlich versuchen die Session zu übernehmen.
Da allerdings die Who is Online Einträge in der Datenbank nur sehr zeitlich begrenzt gespeichert werden braucht es wirklich sehr großes Glück vom Angreifer, dass er den Admin erwischt und dieser dann auch noch zufällig auf "Who is Online" vorbeischaut.
Aber deshalb so einen großen Aufschrei zu veranstalten und auf Rückfrage keine genaue Auskunft zu geben ist doch auch lächerlich.
Zitat von Gambio:
wir bitten um Verständnis, dass wir derzeit noch keine Detailinformationen herausgeben können, die möglicherweise zum Ausnutzen der Sicherheitslücke verwendet werden könnten. Wir möchten zunächst allen Shopbetreibern ausreichend Zeit geben, den eigenen Shop gegen mögliche Angriffe zu sichern. Anschließend werden wir gern entsprechende Informationen herausgeben
Jetzt wo Heise Online schon darüber berichtete ist das Kind schon in den Brunnen gefallen.
Manchmal ist es sinnvoller die Lücke offensiver zu berichten, dann können andere Security Nerds die Lücke auch einschätzen.
Allgemein ist zu empfehlen xt:commerce 3 nicht mehr zu verwenden. Der Code macht sowieso nicht allzu viel Spaß und ist sowieso sehr schwer auf aktuellen Servern zu betreiben. Es wird nämlich noch PHP 5.2 benötigt und das wird von großen Anbietern wie 1und1, Strato oder auch Hetzner nicht mehr angeboten.
Aber domainfactory bietet die alte PHP 5.2 noch an und die haben auch in ihrem Blog recht schnell über die "Lücke" berichtet.
Ich nutze owncloud ja schon länger um meine Kontakte und Kalendersachen selbst zu hosten. Die Daten liegen zwar nach wie vor bei meinem Provider in München aber nicht mehr direkt als "Backup" beim Geheimdienst.
Owncloud hatte mit Version 4 und 5 immer wieder Probleme bereitet und hatte auch lange Zeit sehr schnelle viele neue Features bereitgestellt. Das machen Sie mit Version 6 zwar auch wieder, allerdings haben sie auch einiges an den Bugs gedreht um deutlich fehlerfreier zu sein.
Die Version 6 kam am 10.12. heraus. Normalerweise wollte ich bis zur Version 6.0.1 warten um die ersten Wehwehchen zu vermeiden, die es in der Vergangenheit immer gab. Doch da heute Freitag der 13. ist habe ich doch mal ein Update gewagt. Anfangs kam dann wieder nur ein weiser Bildschirm beim Aufruf der Seite. Doch dann hab ich einfach mal alle Dateien (außer "config" und "data") gelöscht und nochmals das tar file entpackt. Und siehe da es funktioniert wieder einwandfrei. Das Update ist einwandfrei durchgelaufen und auch der Maintanance Mode hat sich wieder abgeschalten.
Das neue Design sieht ein bisschen anders aus. Vor allem ist die Schrift deutlich größer und lesbarer geworden.
Auch ein neues Feature zum Dokumente erstellen (ähnlich Google Docs) ist hinzugekommen. Ich brauche dieses Feature eigentlich nicht, da ich zum Erstellen meiner Dokumente nach wie vor eine Desktop Software wie Word oder Libre Office vorziehe und die Datei dann auch gerne lokal abspeichere. Aber für größere Gruppen, die an einem Dokument gleichzeitig arbeiten wollen ist das sicherlich einen Versuch wert.
Es lohnt sich auf jeden Fall die neue Version 6 anzuschauen. Viel Spaß.
Jedes Jahr startet ab dem 1. Dezember ein Adventskalender der auf das Kommen von Weihnachten hindeutet. Und dieses Jahr habe ich die Ehre beim Blog Adventskalender mitzumachen.
Nachdem es die ersten Tage etwas zum Lachen gab oder auch mal ein Glühwein Rezept möchte ich euch heute einmal etwas zum Spielen anbieten.
Beim Spiel Winterbells steuert ihr ein kleines Häschen, das über immer höher springt. Bereits Ende 2009 habe ich schon einmal einen kleinen Wettbewerb veranstaltet und damit meinen Blog ins Schwitzen gebracht. 
Damals hat dann das Windowsbunny nach stundenlanger Zockerei die 500.000er Marke gerissen und stolze 710400 Punkte erreicht.
//Tip: Wenn ihr den Vögel trifft verdoppelt sich immer der aktuelle Punktestand. Das bringt also doch eine ganze Menge.
Ich möchte diesen Wettbewerb gerne noch einmal starten und verschenke dieses Mal ganze 2x 10 Ü-Eier an diejenigen, die als erste 1.000.000 Punkte erreicht haben.
Falls bis zum 18. Dezember um 23.59Uhr keiner den Rekord geschafft hat werden die Ü-Eier an die am nächsten gekommenen Rekordhalter verschickt. So gesehen sollte das Paket auch noch pünktlich zum 24. Dezember ankommen. 
Wichtig ist hinterher ein Screenshot zum Beweis. Falls ihr kein eigenes Blog habt, könntet ihr ja beispielsweise den Screenshot bei bildupload.com hochladen und das Bild dann hier als Kommentar verlinken. Falls ihr andere Uploaddienste kennt, könnt ihr natürlich auch andere nutzen.
Mein aktueller Rekord:
Ich hoffe dass ich euch nicht zu etwas anstifte und ihr hinterher euer Haus wie folgt dekoriert. Wobei das Lichterspiel und das Lied doch sehr passen.
[youtube]https://www.youtube.com/watch?v=mnk0KjWxgMA[/youtube]
Wer morgen dran kommt erfahrt ihr hinter einem der folgenden Links: Ist es Carsten, der Ostwestfale oder doch Gregel? Morgen erfahrt ihr mehr.
DVDs sind ja scheinbar immer verschlüsselt. Windows und Mac können diese eigentlich immer von Haus aus abspielen und haben dazu die passenden Codecs auch schon an Bord. Linux ist ja freie Software und hat deshalb unfreie Software nicht immer zwingend mit an Bord. Codecs sind leider meist unfreie Software. Deshalb hab ich vorhin beim Abspielen einer DVD mit dem VLC Player auch ein Problem gehabt. Er wollte die DVD einfach nicht abspielen. Das war damals unter Ubuntu aber auch ein Problem und deutet immer auf ein Codec Problem hin.
Aber nun hatte ich ja Zeit und hab ein bisschen gegoogelt und diesen Tipp gefunden. Einfach die richtigen Codecs installieren und den eigenen Benutzer zur Gruppe "optical" hinzufügen.
pacman -S libdvdread libdvdcss libdvdnav gpasswd -a USERNAME optical
USERNAME durch den eigenen Benutzername ersetzen!
Das Ganze vielleicht auch noch mit sudo machen, das ist aber dann selbsterklärend. Ist ja schließlich Arch Linux und nicht Windows. Und schon wieder was gelernt.