allesnurgecloud #55 – Dirty Pipe, SLI bei GitLab, Google kauft Mandiant, OpenSSL Updates und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Dirty Pipe: Lücke im Linux Kernel (CVE-2022-0847)

Max Kellermann von CM4all hat eine kritische Lücke im Linux Kernel entdeckt, welche alle Versionen seit Kernel 5.8 betrifft.
Jeder User kann sich darüber Root Rechte beschaffen – in der National Vulnerability Database wird Dirty Pipe als CVE-2022-0847 mit einer Score von 7,8 geführt.
Fixes gibt es bereits, unter anderem hier für

Details zur Lücke könnt ihr in der eingerichteten Landingpage nachlesen.
Und nicht vergessen – nicht nur Kernel updaten, sondern auch rebooten.

Linux-Kernel-Lücke erlaubt Schreibzugriff mit Root-Rechten

Service Level Indicators bei GitLab.com

Die Mitarbeiter von GitLab teilen im GitLab Blog viele lesenswerte Themen, im aktuellen Beitrag geht es um die firmenweite Transparent von SLIs – Service Level Indicators.
Im Beispiel sieht man das Error Budget eines Teams über die letzten 28 Tage:

  • Availability: Man hat 99,96% von 99,95% erreicht
  • Error Budget: von vereinbarten 20 Minuten hat man 16 Minuten aufgebraucht – und nur noch 4 Minuten übrig.

Ein wichtiger Satz ist mir hierbei ins Auge gefallen:

There’s nobody who knows better how to interpret these numbers in feature aggregations than the people who build these features.

Man sollte das Setup und die Interpretation solcher Graphen den Application Ownern überlassen.
Alarmiert wird übrigens bei Verstößen gegenüber der SLI, beispielsweise wenn 5% des monatlichen Error Budgets in den letzten 6 Stunden überschritten wurden. Man versucht dies in Prozent zu rechnen, damit man auch Fehler in Features mit deutlich weniger Traffic bemerkt und deren Behebung priorisieren kann.

How we share SLIs across engineering departments

Sponsored

Endlich mal mit CxOs auf Augenhöhe IT & Sicherheits-Budgets diskutieren?

Schick sie ins Training!

Persönliche Cybersecurity Bootcamps für Führungskräfte auf Deutsch & Englisch – jetzt auf

digitalisierung-jetzt.de 

Russland startet eigene TLS Root CA

Mit der digitalen Isolation hat Russland mehr und mehr Herausforderungen – teilweise annullieren die größeren CAs (Certificate Authorities) bestehende Zertifikate, da diese nicht mehr bezahlt werden können oder man grundsätzlich keine Geschäftsbeziehungen mehr haben möchte. Beispielsweise zieht Thawte diverse Zertifikate russischer Banken zurück.
Von staatlicher Seite versucht man nun, eine eigene CA zu etablieren – diese sei teilweise schon auf staatlichen Sites erforderlich und in den in Russland gängigen Browsern (Yandex hat auch einen eigenen Browser) integriert.
Solche CAs können dann auch für Man-in-the Middle Attacken genutzt werden, beispielsweise in dem man den Traffic intercepted und dazwischen „vermittelt“ – dann könnte man ihn auch auslesen. Genau das ist 2019 in Kasachstan passiert – und Mozilla hat hier über entsprechende Blocklisten gegengesteuert – genau das möchte man nun für Russland auch tun.
Details findet ihr im verlinkten Bugzilla Eintrag bei Mozilla.

Web-Verschlüsselung: Russland stellt nun eigene TLS-Zertifikate aus

Google will Cybersecurity-Spezialist Mandiant übernehmen

Google macht mit dem Cloud Business trotz enormem Zuwachs noch immer Verluste.
Mit der Aquise des amerikanischen Cybersecurity-Spezialisten Mandiant für umgerechnet 5 Milliarden Euro möchte Google das Security Angebot der Google Cloud deutlich erweitern. Die Übernahme ist nach der Motorola Aquise (12,5 Milliarden Dollar) die bisher größte Übernahme von Google in Summe.
Mandiant firmierte früher unter dem Namen „FireEye“ und war unter anderem an der Entdeckung der Solarwinds-Hacks und an der Analyse der Log4Shell Lücke in Log4J beteiligt.

Google Cloud: Zweitgrößte Übernahme der Firmengeschichte – Google will Mandiant übernehmen

Bevorstehende Security Updates von OpenSSL

Das OpenSSL Team hat für den kommenden Dienstag, 15. März, neue Releases der Versionen 3.0.2 und 1.1.1n. angekündigt.
Scheinbar gibt es 2 Bugfixe der Kategorie HIGH – in den OpenSSL Kategorien ist dies die zweithöchste Kritikalität nach CRITICAL.
Man sollte das Thema trotzdem im Auge behalten – die Release sind für 13-17:00 Uhr UTC angekündigt.

Forthcoming OpenSSL releases

NextCloud Erfahrungsbericht aus der Praxis

In diesem Artikel beschreibt Marcus Toth von BeamyLake, wie man NextCloud hochverfügbar bereitstellt und für seine Firmenprozesse als Alternative zu sonstigen SaaS Angeboten nutzen kann.
NextCloud kann man bekanntlich nicht nur für Filesharing (und als Ersatz für Dropbox) nutzen, sondern auch für Kalender, Kontakte, Aufgaben und Talk. Talk ist für Screensharing und Webkonferenzen eine tolle, self-hosted Alternative zu den gängigen US Angeboten. Wichtig bei Talk sei laut Marcus die Konfiguration des Turnservers auf Port 443, damit die User den Dienst auch aus öffentlichen Netzen vernünftig nutzen können.
Spannend fand ich im Erfahrungsbericht, dass GlusterFS scheinbar immer noch massiv Probleme mit einer hohen Anzahl von kleinen Files hat, wie vermutlich so ziemlich jedes freie & verteilte Dateisystem.

Nextcloud im harten IT-Alltag

S3 spielend erlernen mit S3Game-Galaxy

Die Basics von S3 in einem Browser Spiel kennenlernen?
In diesem Spiel müsst ihr das versteckte und wertvolle „Element-S3“ auf einem unbekannten Stern finden.
Viel Erfolg! 🙂

S3Game-Galaxy – Welcome to the Amazon S3 challenge!

GrafanaCONline 2022 vom 13-17. Juni 2022

Die GrafanaCONline 2022 steht unter dem Motto: Global, virtual, awesome – und damit ist eigentlich alles gesagt.
Anmeldung ist wieder kostenlos (Kostenlos im Sinne von „you agree to be emailed about event details and related product-level information“) – aber dafür gibt es ja auch so Alias E-Mail Adressen.
Die Konferenz findet vom 13 bis 17. Juni statt – neben Grafana 9 soll es über 30 Sessions zum Thema Grafana, Prometheus, Loki und Tempo geben. Viel Spaß!

GrafanaCONLine 2022

Kostenlose Microsoft Azure Trainings und Zertifizierungen

Für den Einstieg in die Welt von Microsoft Azure gibt es im März und April diverse kostenlose Schulungen.´im Rahmen der „Microsoft Virtual Training Days“.
Zusätzlich könnt ihr euch bei Nutzung des verlinkten Angebots die Zertifizierungs-Gebühr in Höhe von 99€ sparen.
Folgende Kurse werden unter anderem Angeboten:

Verlinkt habe ich jeweils die ersten Termine, weitere Alternativtermine findet ihr im unten verlinkten Angebot bei MyDealz.

Microsoft Virtual Training Days + Zertifizierungen kostenlos

Humble Bundle: All-in-One Python und „Joy of Coding“

Und auch bei Humble Bundle gibt es wieder 2 interessante Bundles für IT interessierte.

Im „The Joy of Coding“ Bundle von „no starch press“ finden sich 18 Artikel, für die ihr mindestens 26,42€ bezahlen dürft. im Bundle findet ihr unter anderem:

  • Network Programming with GO
  • If Hemingway wrote Javascript
  • Clojure for the Brave and True

Das zweite Bundle, „All-in-One Python“ von „Packt“ enthält über 24 Artikel für mindestens 15,87€ – ist also was für die Schwaben unter euch. Unter anderem dabei:

  • Expert Python Programming
  • Python Natural Language Processing
  • Web Development with Django
  • Python for Geeks und mehr

Viel Spaß damit – und wie immer gilt – nicht nur kaufen, sondern auch lesen.
Da ist man halt ein Weilchen beschäftigt.

Humble Book Bundle All-in-One Python by Packt

Schmunzelecke

Quelle: @memenetes

„I finally remember what Zoom meetings remind me of.“ – twitter @managerspeak

💡 Link Tipps aus der Open Source Welt

Infracost – Cloud Kosten in Terraform schätzen

Infracost ist ein OpenSource Tool, welches Cloud Kosten innerhalb Pull Requests von Terraform schätzen kann.
Aktuell ist Infracost komplett umsonst und unterstützt neben Terraform Cloud & Terragrund, CI/CD Integrations in GitHub, GitLab, CircleCI und Atlantis.
Wichtig ist natürlich der Support der großen 3 Cloud Provider: AWS, Azure und Google Cloud. Insgesamt werden aktuell über 230 Ressourcen erkannt und berechnet – eine Übersicht findet ihr hier.
Die Infracost website listet diverse Use-Cases für eine Integration des Tools in eure Prozesse.

https://github.com/infracost/infracost

Wireguard Operator für Kubernetes

Mit dem Wireguard operator kann man – nunja – VPNs mit Wireguard innerhalb von Kubernetes bauen.
Definiert in Software, Secrets werden als k8s secrets gespeichert und dann im Wireguard Pod geladen.
Metriken gibt es über den Prometheus WireGuard Exporter.
Projekt ist noch recht jung (Dezember 2021) – aber sieht schon mal vielversprechend aus.

https://github.com/jodevsa/wireguard-operator

Imapsync – Open Source IMAP Transfer & Backup

Mit Imapsync könnt eure IMAP Postfächer sichern, spiegeln oder zu einem anderen Provider migrieren.
Das Tool erfreut sich wieder größerer Beliebtheit, um Accounts des ehemaligen, kostenlosen Google Workspace Accounts zu einem anderen Anbieter zu migrieren. Man muss jedoch darauf achten, dass es nur E-Mails synchronisiert, keine Kalender und Kontakte.

https://github.com/imapsync/imapsync

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x