Elf Prozent aller WordPress-Installation unsicher, Cinnamon 3.4 getaggt und uXDT ist auf dem Vormarsch

7 Mai 2017 5 Kommentare Autor: Jürgen (jdo)
  • Elf Prozent aller WordPress-Installationen sind anfällig für Remote Code Execution
  • Cinnamon 3.4 auf GitHub
  • Bei Vivaldi Snapshot 1.10.834.9 kannst Du die Downloads sortieren
  • Der Wallpaper-Wettbewerb für Kubuntu 17.10 ist in vollem Gange
  • uXDT ist ein Unding, aber leider auf dem Vormarsch
  • Offizielles Raspberry-Pi-Magazin MagPi 57 ist da
  • Das PCLinuxOS Magazine Mai 2017 bietet ein paar interessante Artikel
  • Devuan 1.0 RC2 unterstützt 29 verschiedene ARM Boards – auch Raspberry Pi
  • Security Update: Debian 8.8 ist veröffentlicht
  • Die Ergebnisse der Krita-Umfrage sind veröffentlicht
  • Fedora wird bald mit offizieller Unterstützung für MP3 ausgeliefert – Lizenz-Probleme sind Geschichte
  • Mit dem Light Phone kannst Du nur anrufen und angerufen werden

Mindestens elf Prozent der WordPress-Installation anfällig für Remote Code Execution (RCE)

CVE-2016-10033 nennt sich die Security-Lücke in der PHPMailer-Bibliothek. Klingt eigentlich ganz harmlos, ist sie aber nicht. Damit kann ein Angreifer eine WordPress-Installation kompromittieren, ohne sich authentifizieren zu müssen. Er bekommt damit Zugriff auf den Server, auf dem die WordPress-Instanz läuft. Der Entdecker weist darauf hin, dass keine Plugins installiert sein müssen und die ganz normale Standard-Konfiguration betroffen ist.

Die Security-Lücke wurde außerdem von den WordPress-Entwicklern im Januar 2017 für WordPress 4.7.1 geschlossen. Das Problem dabei ist nur, dass noch fast elf Prozent aller WordPress-Installationen mit Version 4.6 laufen. Glaubt man Wikipedia, dann steckt WordPress hinter 60 Millionen Webauftritten und dann werden elf Prozent plötzlich ganz schön viel.

Fast elf Prozent sind noch mit WordPress 4.6 unterwegs

Fast elf Prozent sind noch mit WordPress 4.6 unterwegs

Weiterhin schreibt der Security-Experte, dass der Exploit für WordPress 4.6 bestätigt ist. Es könnte aber auch sein, dass ältere Versionen davon betroffen sind. Wer immer noch eine ältere Version betreibt, weiß, was zu tun ist.

In eine Video demonstriert er den Exploit:

Cinnamon 3.4 via GitHub verfügbar

Linux Mint 18.2 Sonya wird mit Cinnamon 3.4 ausgeliefert. Ab sofort ist der Quellcode für 3.4 via GitHub verfügbar.

Wer es sich lieber etwas bequemer machen möchte und ein auf Ubuntu basierendes System verwendet, der kann auch ein Nightly Build (PPA) nehmen, das nun ebenfalls auf Cinnamon 3.4 basiert. Ich verlinke mit Absicht nicht darauf, denn Vorsicht! Das ist keine stabile Software, sondern eine Entwickler-Version. Probiere das PPA für Cinnamon 3.4 lieber in einer virtuellen Maschine oder auf einem Rechner, den Du nicht produktiv brauchst. Geht bei der Installation etwas schief und Du kannst Dich zum Beispiel nicht mehr am Desktop anmelden, brauchst Du lediglich die letzte Snapshot-Version Deiner virtuellen Maschine wiederherstellen. Dann kannst Du es zu einem späteren Zeitpunkt noch einmal testen.

Cinnamon 3.4 als PPA für Xenial und Zesty steht schon bereit

Cinnamon 3.4 als PPA für Xenial und Zesty steht schon bereit

Ob und wann Cinnamon 3.4 in Romeo (Mint instabil) auftaucht und sich unter Linux Mint 18.1 installieren lässt, kann ich auch nicht sagen.

Vivaldi Snapshot 1.10.834.9 erlaubt das Sortieren der Downloads

Vor nicht allzu langer Zeit haben die Entwickler des Browsers Vivaldi eine Funktion implementiert, mit der sich Notizen sortieren lassen. In Vivaldi Snapshot 1.10.834.9 ist das auch bei den Downloads möglich. Die heruntergeladenen Dateien lassen sich nach Name, Größe, Datum hinzugefügt und Datum beendet sortieren.

Windows-Anwender (8 und höher) können das Desktop-Hintergrundbild nun als Startseite für Vivaldi aussuchen. Betrifft mich nicht. Die gleiche Funktion soll bald auch für Mac-Anwender zur Verfügung stehen. Betrifft mich ebenfalls nicht. Für Linux steht da nichts in der Ankündigung.

Wallpaper-Wettbewerb für Kubuntu 17.10 ist gestartet

Fotografen, Künstler und sonstige Kreateure von rechteckigen Werken können ab sofort am Wallpaper- oder Hintergrundbild-Wettbewerb für Kubuntu 17.10 teilnehmen. Als Teilnehmer musst Du kein Mitglied von (K)Ubuntu sein, allerdings dürfen nur Mitglieder die Werke bewerten. Die zehn am besten bewerteten landen dann in Kubuntu 17.10 Artful Aardvark.

Du kannst Dein Werk hier hochladen. Natürlich muss die Arbeit von Dir sein und mehr als zwei Beiträge pro Teilnehmer sind nicht erlaubt. Wer mitmacht, sollte sich unbedingt vorher den Ubuntu Code of Conduct durchlesen.

Einsendeschluss ist der 8. Juni 2017 und die Gewinner werden am 22. Juni 2017 bekanntgegeben.

uXDT auf dem Vormarsch: 234 Android Apps tracken Anwender mit Ultraschall

Schöne neue Welt, kann man da nur sagen. Forscher der TU Braunschweig haben Android Apps untersucht, die mithilfe von Ultraschall oder uXDT (ultrasonic Cross Device Tracking) die Anwender tracken. Das geht so:

In der Werbung wird ein Ultraschall-Ton versteckt – beziehungsweise hörst Du den ja gar nicht. Mikrofone in der Umgebung greifen den Ton auf. Das können solche IN Notebooks, Desktops, Tablets oder auch Smartphones sein. Mithilfe dieser Ultraschalltöne oder mit uXDT lässt sich dann zuweisen, dass Besitzer von Fernseher X auch der Besitzer von Smartphone Y ist. Den Rest muss ich Dir nun nicht weiter erklären. Selbst in diversen Geschäften wurden uXDT Tracker gefunden.

Für die Studie wurden 1,3 Millionen App untersucht. 234 Android Apps senden die versteckten uXDT-Signale. Eine ähnliche Studie im April 2015 hat lediglich sechs Apps mit dieser Technologie enthüllt.  Im Dezember 2015 waren es schon 39. Problematisch ist, dass einige dieser Apps von mehreren Millionen Menschen installiert sind. In der Studie wird zum Beispiel McDonald’s genannt.

Die einzige gute Nachricht ist derzeit, dass keine uXDT-Signale im Fernsehprogramm gefunden wurde. Zumindest bisher noch nicht. Hierfür wurden sieben verschiedene Länder in der EU untersucht.

Das Ganze ist noch besorgniserregender, weil sich mithilfe von uXDT-Signalen möglicherweise auch TOR-Anwender enthüllen lassen.

Raspberry-Pi-Magazin MagPi 57 ist veröffentlicht

Das MagPi ist das offizielle Raspberry-Pi-Magazin. Ausgabe 57 ist da und eigentlich gibt es eine Besonderheit. Wer das Print-Magazin kaufen kann, der erhält ein kostenloses AIY Projects Voice Kit, das von Google entwickelt wurde. Genau genommen bastelst Du damit ein Gerät aus Pappe, das mithilfe des Google Assistant SDKs Fragen beantwortet. Ein Video erklärt das ganz gut.

Das MagPi 57 inklusive AIY Projects Voice Kit gibt es allerdings nicht in Deutschland zu kaufen. In Großbritannien und Nordamerika gibt es die Ausgabe. Allerdings kannst Du die kostenlose PDF-Version herunterladen (rechts in der Seitenleiste unter Free Download).

Das Magazin ist wie immer auf Englisch und ein Stöbern lohnt sich – also ich stöbere darin gerne.

Es gibt einen Beitrag, wie Du mit einem Raspberry Pi Zero einen Laser-Stolperdraht bastelst. Eigentlich ist es eine Lichtschranke und bei Unterbrechung wird ein Alarm ausgelöst. Kann ich mir auch gut vorstellen, damit eine Kamera auszulösen. Allerdings müsste man mit der Verzögerung experimentieren. Mit einem Raspberry Pi lässt sich via gphoto2 ebenfalls eine DSLR auslösen.

Ein interessanter Beitrag ist auch, wie Du dem Raspberry Pi einen Ein- und Ausschaltknopf spendieren kannst. Der Artikel dürfte bei vielen Pi-Fans Interesse wecken. Die meisten werden wie ich einen Neustart mit dem Stromkabel oder eine Schalter-Steckdose durchführen. Damit Du den Raspberry Pi nicht aus Versehen ausschaltest, wird im Projekt ebenfalls beschrieben, wie Du eine Sicherung einbauen kannst. Dann musst Du den Schalter ein paar Sekunden lang gedrückt halten, damit sich der Pi neu startet oder eben herunterfährt.

PCLinuxOS Magazine Mai 2017 ist da

Wer gerne in kostenlosen Linux-Magazinen stöbert, der kann die Mai-Ausgabe von PCLinuxOS Magazine genießen. Selbst wenn Du eine andere Distribution verwendest, gibt es normalerweise immer Anregungen und was weiß ich noch alles. Lesen soll ja angeblich bilden.

Das Magazin ist in Englisch gehalten und es dreht sich wirklich nicht alles nur um PCLinuxOS. Besonders zwei Artikel sind mir ins Auge gesprungen.

Zum Einen gibt es einen Artikel über GIMP, beziehungsweise wie Du mit dem Klon-Tool ein Foto verbessert. Gibt es hunderte an Beiträgen über dieses Thema, lese ich trotzdem immer wieder gerne. So prägt es sich besser ein.

Zum Anderen gibt es einen Beitrag über VPN (Virtual Private Network). Die Gründe, ein VPN zu verwenden, brauche ich nicht weiter erläutern.

VPN Services sind in der Regel nicht kostenlos. Es gibt aber immer wieder tolle Angebote, mit denen Du Dir die Dienste auf Jahre für ein paar Euro sichern kannst. Ich verwende sowohl VPNSecure und habe auch ein Konto bei PureVPN. Die Anbieter betreiben viele Server, die auf dem Erdball verteilt sind.

FreeVPN.se hat derzeit anscheinend nur einen Server. Ich wollte ihn ausprobieren, er war aber nicht erreichbar. Theoretisch sollte FreeVPN.se mit Linux und Android funktionieren. Unter Linux würde ich OpenVPN nehmen und Android unterstützt per Standard PPTP. Vielleicht probiere ich FreeVPN.se zu einem späteren Zeitpunkt noch einmal. Eigentlich liest es sich nicht schlecht: Kein Logging, unlimitierte Bandbreite und sogar Torrents wären erlaubt.

FreeVPN.se sieht vielversprechend aus

FreeVPN.se sieht vielversprechend aus

Bei kostenlosen Angeboten bin ich immer sehr vorsichtig. Oftmals ist es so, wenn etwas kostenlos zu sein scheint, dann bist Du das Produkt. Davon sind auch kostenlose VPN (Virtual Private Network) Services nicht ausgenommen. Eine Studie hat sogar gezeigt, dass viele freie oder kostenlose VPN-Dienste unter Android nicht weit von Spyware entfernt sind. FreeVPN.se scheint auf den ersten Blick die rühmliche Ausnahme zu sein. Wie gesagt konnte ich den Service nicht testen, da der Server irgendwie nicht erreichbar war.

Devuan 1.0 RC2 unterstützt Raspberry Pi

Devuan ist Debian ohne systemd (und mit Init) und ab sofort gibt es einen zweiten Veröffentlichungs-Kandidaten von Devuan 1.0.0 Jessie.

In der Ankündigung ist zu lesen, dass die Entwickler Unterstützung für U-Boot implementiert haben. Deswegen kann die Distribution mit 29 verschiedenen ARM Boards umgehen. Dazu zählen:

  • Acer Chromebook (chromeacer)
  • Veyron/Rockchip Chromebook (chromeveyron)
  • Nokia N900 (n900)
  • Odroid XU (odroidxu)
  • Raspberry Pi Zero und 1 (raspi1)
  • Raspberry Pi 2 und 3 (raspi2)
  • Raspberry Pi 3 – arm64 (raspi3)

Außerdem gibt es Unterstützung für diverse Allwinner Boards. Sie sin alle in einem Image untergebracht (sunxi) und die entsprechenden Bootloader findest Du im U-Boot-Verzeichnis. Derzeit Unterstützt sind:

  • Olimex: Lime (A10), Lime, Lime2, MICRO (A20)
  • Banana Pi: Pi, Pro (A20)
  • CHIP: CHIP (R8), CHIP Pro (GR8)
  • Cubieboard: Cubieboard (A10), Cubieboard2, Cubietruck (A20)
  • Cubieboard4 (A80), Cubietruck Plus (A83t)
  • Lamobo R1 (A20)
  • OrangePi: OrangePi2, OrangePi Lite, OrangePi Plus (H3), OrangePi Zero (H2+), OrangePi, OrangePi Mini (A20)
  • Allwinner-based Tablet (A33)

Interessierte von Devuan können die Distribution aus dem Download-Bereich herunterladen.

Devuan Images gibt es auch für Raspberry Pi

Devuan Images gibt es auch für Raspberry Pi

Debian 8.8 Jessie

Debian 8.8 ist eine Security- oder Wartungs-Version, die keine neuen Funktionen mit sich bringt. Die Entwickler haben aber mehr als 150 Fehler ausgebessert. Davon sind 90 Security Fixes.

Wer Debian 8.8 Jessie bereits installiert hat und immer die Updates online durchführt, der hat bereits die neueste Version. Du musst also nicht neu installieren.

In der Ankündigung ist zu lesen, dass neue ISO-Abbilder bald folgen. Wer die für Neuinstallationen herunterladen möchte, soll sich bei den Spiegel-Servern umsehen. Die Ankündigung zu Debian 8.8 ist hier.

Krita präsentiert die Ergebnisse der Umfrage

Die Ergebnisse der Krita-Umfrage sind veröffentlicht. Mehr als 1000 Leute haben geantwortet.

55 Prozent der Teilnehmer verwenden Windows, 40 Prozent Linux und in etwa zehn Prozent macOS.

Das die Hälfte aller Nutzer verwenden eine Grafikkarte von NVIDIA. Weniger als 25 Prozent haben eine AMD GPU im Einsatz. Der Rest ist Intel.

Acht GByte RAM kommt am häufigsten vor und die am meisten eingestellte Bildschirmauflösung ist 1920×1080 Pixel.

In Sachen Grafiktablett ist die vorherrschende Marke Wacom, danach folgt Huion. Am meisten Probleme haben Anwender mit Genius.

Die meisten Leute wünschen sich außerdem, dass Krita etwas schneller wäre. Aber mehr Geschwindigkeit wünschen sich Nutzer immer. Die komplette Umfrage gibt es als PDF-Datei.

Kurz notiert

Binnen neun Wochen wurden bereits 250.000 Exemplare des Raspberry Pi Zero W verkauft. Gratulation! Ebenso arbeitet die Raspberry Pi Foundation daran, das Distributions-Netzwerk zu erweitern.

Collabora Online 2.1 basiert auf LibreOffice 5.3. CODE 2.1 tut das ebenfalls und ist für Heimanwender gedacht.

Team Kodi freut sich über das EU-Gerichtsurteil, das den Verkauf von Piraterie-Boxen als illegal erklärt. Damit ist Kodi endgültig aus der Schusslinie.

Der KDE e.V. Community-Bericht 2016 ist veröffentlicht.

Fedora wird mit kompletter Unterstützung für MP3 ausgestattet. Bisher gab es immer Lizenzprobleme. Am 23. April wurde aber das Lizenzierungs-Programm von IIS Frauenhofer und Techicolor eingestellt. Somit steht nichts mehr im Weg, Fedora per Standard mit Unterstützung für MP3 auszustatten.

Der NVIDIA-Treiber 375.39 ist da. Ich lebe ja gerne nach dem Motto Never change a running system. Wer aber eine GPU der Typen GeForce GTX 1080 Ti, Quadro M520, Quadro P3000 oder Titan Xp im Einsatz hat, darf sich über sofortige Unterstützung freuen. Support für die GRID K520 gibt es auch wieder.

Zum Schluss

Das Light Phone lässt sich ab sofort vorbestellen. Ich finde das Konzept ehrlich gesagt gar nicht so doof. Jeder glotzt nur noch in sein Smartphone. Mit dem Light Phone bist Du erreichbar, aber mehr auch nicht. Das Ding kann neun Nummer speichern. Du kannst damit anrufen und angerufen werden.

Das Light Phone

Das Light Phone

Auf dem Light Phone läuft ein Android und Du paarst es sozusagen mit einem kompletten Smartphone. Das liegt dann zuhause und leitet eingehende Anrufe auf Dein Light Phone um.

Bevor nun aber jeder sofort losrennt und eins kauft – es ist nicht ganz klar, ob das Ding überall funktioniert. Zumindnest übernehmen die Entwickler keine Garantie und bei der Kickstarter-Kampagne 2015 gab es folgende Warnung:

Kurz gesagt musst Du Dich selbst bei Deinem Provider erkundigen, ob das Light Phone unterstützt wird. Dann kannst Du es für satte 150 US-Dollar von der Projektseite bestellen. Es gibt eine schwarze und eine weiße Version.

(Auf der anderen Seite könntest Du Dir auch ein altes Nokia-Mobiletelefon für 20 Euro kaufen und hättest einen ähnlichen Effekt – die Standby-Zeit wäre sogar noch länger).

Light Phone International

Light Phone International

Nette Pi-Konstellation

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
 Alle Kommentare als Feed abonnieren

5 Kommentare zu “Elf Prozent aller WordPress-Installation unsicher, Cinnamon 3.4 getaggt und uXDT ist auf dem Vormarsch”

  1. Tux. sagt:

    WordPress war noch nie für herausragende Sicherheit bekannt. Es sollte die automatische Installation von Sicherheitsupdates zur Pflicht und nicht mehr zur Option machen.

    • jdo sagt:

      Ist bei Punkt-Versionen der Fall - aber nicht bei großen Versions-Sprüngen. Auf jeden Fall sollte man sich ein System überlegen, solche Probleme deutlicher zu kommunizieren. Also nicht nur auf eine neue Version verweisen, sondern auch die Dringlichkeit eines Updates hervorheben.

      • Tux. sagt:

        Tut WordPress ja seit Jahren. Allgemein ist jetzt der Punkt erreicht, an dem jemand, der keine Zeit zur ständigen Wartung hat, kein WordPress mehr einsetzen sollte.

  2. Schroeffu sagt:

    Danke fuer den Hinweis zum WordPress Exploit, davon habe ich noch nichts gelesen.

    Nur 11 Prozent veraltet für den relativ kleinen Versionssprung 3.6 > 3.7.1 ist eigentlich eine reife Leistung und eher positiv. Da gehen ja jedesmal mehr Windows Updates in einer Firma mit SCCM daneben, haha 🙂

    Der Exploit ist genial. Braucht aber ein PortForwarding, hier Port 1337, damit die Reverse Shell aufgeht, so wie ich es verstanden habe.

  3. Struppi sagt:

    Es scheint eine weitere Lücvke zu existieren, die auch die aktuelle 4.7 Version betrifft
    https://blog.uberspace.de/wordpress-cve-2017-8295/
    (und Tux freut sich 😉 )

Antworten