allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

507 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address

Diese E-Mail ist bereits registriert.

The security code entered was incorrect

Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Deutsche Kommunen mit mangelhafter IT-Sicherheit

Der Entwickler René Rehme hat über 3 Monate lang Server und Applikationen deutscher Kommunen überprüft. Dabei hat er den verheerenden Zustand der Applikationen und Systeme dokumentiert und in einem ausführlichen Blog Beitrag veröffentlicht.
René hat über 10.200 TLDs überprüft – auf Basis dieser öffentlichen Daten.
Viele interne Instanzen waren einfach öffentlich im Internet erreichbar – ein Login mit „test/test“ funktionierte hier und da – „Zero trust“ lässt schön grüßen. Bei diversen Roundcube (WebMail) Instanzen fehlte die .htaccess Absicherung aus der Doku – hier konnte René log und temp Dateien auslesen. Hierüber konnte er dann die kompletten E-Mails oder Anhänge auslesen. In den nicht geleerten Anhängen (aus /temp) fand er neben Personalausweise, Krankenkarten, Geburtsurkunden und Reisepässen auch „Nudes“ – tja.
Der Zugriff funktionierte ebenfalls bei 3 technischen Universitäten oder bei einem der größten deutschen Hosting Anbieter.

Diverse, offene oder kaum abgesicherte Datenbanken konnte er ebenfalls sicherstellen und auf über 100.000 personenbezogene Daten zugreifen – hier hätte ich jetzt noch deutlich mehr erwartet. Vermutlich war er irgendwann so erschrocken, dass er mit der Suche aufgehört hat.
Highlight war für mich die Übersicht über die verwendeten PHP Versionen – hier finden sich neben der PHP Version 5.2 (EOL seit 2006) auch noch eine PHP in Version 4.3 (EOL seit 2004). Hierfür hatte René Zugriff auf über 60 Webserver gehabt und konnte zumindest die PHP Version auslesen.
René hat seine Erfahrungen in diesem Twitter Thread zusammengefasst – unter anderem hat er sich bemüht, die Schwachstellen überall zu melden – teilweise musste er Verantwortliche erinnern – einige wenige haben ihn einfach ignoriert.
In Zusammenhang möchte ich nochmal auf endoflife.date hinweisen – hier findet ihr schnell den aktuellen Support Stand von diverser Software, wie beispielsweise PHP, Elasticsearch, nodejs, Ubuntu oder Typo3.

Ich habe deutsche Kommunen auf Schwachstellen überprüft

AWS, Azure und Google wachsen langsamer

Die Märkte machen auch vor den 3 großen Hyperscalern keinen Halt: Das Wachstum von AWS, Azure und Google hat sich ordentlich verlangsamt.
AWS wächst im Q3/2022 nur noch um 27,5% – im Q2/2021 wuchs man noch um 33,3%, im Q3/2021 aus dem Vorjahr sogar noch um 38,9%. Die am schnellsten wachsende Cloud, Azure von Microsoft, wächst nur noch noch um 35% – im Vergleichsquartal des Vorjahres wuchs man noch um 50%.
Und auch die Google Cloud wächst mit nur noch 37% Wachstum im Q3/2022 langsamer als im Vorjahr (Q3/2021 44%).
Freunde der Fakten und Zahlen können die Vergleichswerte im Google Sheet des Doppelgaenger Podcasts vergleichen, hier geht es direkt zu Microsoft, zu Amazon und zu Google.
Der Market Share zwischen den 3 Providern ist immer noch ähnlich aufgeteilt:

1. Amazon Web Services: 34%
2. Microsoft Azure: 21%
3. Google Coud: 10%

Ein interessantes Detail am Rande – Microsoft reported eine 73% Marge im Cloud Business, AWS „nur“ 29%.

The slowdown has come for the cloud business

Kritische OpenSSL Lücke in Version 3.0

Pünktlich zum Feiertag am 1. November veröffentlicht das OpenSSL Projekt ein Update zur Version 3.0 mit mindestens einer als „Critical“ eingestuften Lücke. Feiertag? Nun ja, Bayern, Baden-Württemberg, Nordrhein-Westfalen, das Saarland und Rheinland-Pfalz haben am 1.11. einen gesetzlichen Feiertag – „Allerheiligen“. Kann das OpenSSL Projekt ja nicht wissen, dass das bei uns so kompliziert ist….
Das Release erscheint am kommenden Dienstag, 1.11.2022, gegen 13-17 Uhr UTC – da wir am Sonntag, 30. Oktober, die Uhr wieder eine Stunde zurück stellen – erscheint das Release also 14-18 Uhr (GMT+1).
CRITICAL ist bei OpenSSL die höchste Einstufung – kannst du hier nachlesen. Versionen vor OpenSSL 3.0 sind laut aktuellem Stand nicht betroffen.
Betroffen sind mindestens folgende Betriebssysteme:

• Ubuntu 22.04 LTS & Ubuntu 22.10
• RedHat Enterprise Linux 9 (RHEL 9)
• CentOS Stream 9
• Fedora 36 & Rawhide
• Rocky Linux 9

Eine Übersicht betroffener Betriebssysteme findest du hier. Natürlich sind sämtliche Libraries oder Appliances, die eine 3.x Version verwenden, ebenfalls betroffen. Hier empfiehlt sich, wie sonst üblich, einen robusten und regelmäßigen Update-Prozess zu etablieren, so dass man solchen Releases entspannt begegnen kann.

Wichtige Sicherheitspatches für OpenSSL in Sicht

End2End Testing mit Playwright

Stefan Judis von Checkly stellt in diesem Artikel bei „TheNewStack“ das moderne End-to-End Testing Tool Playwright vor. Playwright ist eine Open-Source Browser Testing Suite von Microsoft und unterstützt die Rendering Engines Chromium, WebKit und Firefox.
Playwright erlaubt Dir auf einfache Art und Weise, Browser Tests in deinem CI/CD Prozess auszuführen – oder auch schon in deiner lokalen Entwicklungsumgebung. Playwright funktioniert unter Linux, macOS und auch auf Windows – meiner Meinung nach macht es Sinn, Browser-Testing so früh wie möglich im Entwicklungsprozess auszuführen.
Tests kannst du einfach selber schreiben, beispielsweise mit der Playwright Extension für VSCode. Alternativ kannst du mit dem Headless Recorder deine Browser Aktivität einfach aufzeichnen – ein einfacher Start für dein Testing Script.

Grundsätzlich helfen End2End Testing Tools wie Playwright einen kundenzentrierten Monitoring Prozess zu etablieren. Zum Thema „Customer Centric Monitoring“ habe ich einen ausführlichen Twitter Thread geschrieben – lass mich gerne wissen, wie du das siehst, und wie du in deiner Umgebung sicherstellst, dass der Kundenprozess weitgehend ungestört abläuft.

Playwright, a Time-Saving End-to-End Testing Framework

Equifax: Doppelte Jobs bei Remote Work

Der amerikanische Finanzdienstleister Equifax hat sich die Arbeitsweise von knapp 1000 seiner Remote Worker genauer angeschaut und dabei festgestellt, dass es diverse Verstöße gegen den firmeninternen „Code of Conduct“ gab.
Beispielsweise hat man diverse Mitarbeiter:innen mit weniger als 13 Stunden VPN Aktivität entdeckt und entsprechend informiert. Diverse andere Mitarbeiter:innen sollen mehrere Jobs parallel gemacht haben – das erinnert mich an den Hacker News Post „I have 10 full-time remote jobs“, in dem ein Tech-Worker seine Strategie für die Ausführung von mehreren parallelen Jobs darstellt und verteidigt.
Im Falle von Equifax ist zumindest mal „spannend“, dass man das eigene Produkt „TheWorkNumber“ verwendet hat, um in den Daten von 2,5 Millionen B2B Kunden (andere Firmen) Mitarbeiter zu finden, die sowohl bei Equifax wie auch bei „Equifax Kunden“ ein Gehalt beziehen.
Passend dazu ist auch der virale LinkedIn Post von Canopy CEO Davis Bell – man hatte dort 2 Engineers eingestellt, welche ihren alten Job einfach nicht gekündigt und parallel gearbeitet haben. Davis gibt auch ein paar „Tipps“, wie man solche Mitarbeiter entdecken kann.

Equifax surveilled 1,000 remote workers, fired 24 found juggling two jobs

22 Jahre alter SQLLite Security Issue gefixed

Der CVE-2022-35737 beschreibt einen 22 Jahre lang vorhandenen Security Issue in SQLite. Alle SQLite Versionen seit dem 1.0.12 Release am 17. Oktober 2000 sind verwundbar.
Interessantes Detail – der Fehler ist trotz 100% Test Coverage vorhanden – was war passiert?
Die Tests sind teilweise für 32-bit Register geschrieben worden. Der Fehler tritt nur auf, wenn man das SQLite interne Memory Limit von 1 GB „reist“ – dies kann in den C-APIs von SQLite passieren, da das Memory Limit an der Stelle nicht forciert wird.
Beachtlich ist ebenfalls, dass das SQLite Team 3 Tage nach Meldung einen Fix geschrieben und weitere 3 Tage danach ein neues Release 3.39.2 veröffentlicht hat.
SQLite wird auf allen möglichen Devices verwendet, in unseren Smartphones, in anderen Programmiersprachen oder auch auf Kriegsschiffen. SQLite ist der eigentliche Initiator der „Serverless“ Bewegung, die Datenbank kann direkt auf Endgeräten und ohne Server verwendet werden. Einen interessanten Artikel zum Thema „The Origin of SQLite, the World’s Most Widely-Used Database“ hat „TheNewStack“ letztes Jahr veröffentlicht.

Stranger Strings: An exploitable flaw in SQLite

ClamAV 1.0 RC veröffentlicht

Den Open-Source Virenscanner ClamAV gibt es nun seit über 20 Jahren – das erste Release in Version 0.10 wurde am 8. Mai 2002 veröffentlicht. Die aktuelle Stable Version ist eine 0.105.0.
Nach über 20 Jahren kann man ja auch mal eine 1.0 veröffentlichen – deshalb gibt es nun brandaktuell eine 1.0.0 RC von ClamAV.
ClamAV gehört seit 2013 über die Aquise von Sourcefire zu Cisco – und wird dort auch noch weiter gepflegt.
Von der Detection Rate her schneidet ClamAV häufig besser ab als kommerzielle Scanner. Zudem – welcher andere Virenscanner hat schon einen Discord Server, GitHub Issues und eine coole und öffentliche Dokumentation?
Übrigens erhalten russische Nutzer keine Pattern-Updates mehr, da Cisco sämtliche Services in Russland eingestellt hat – und das Pattern ausliefernde CDN Verbindungsversuche aus Russland blockiert.
Happy Birthday nachträglich und ich bin gespannt auf Release 1.0.

ClamAV 1.0.0 release candidate now available

GitLab Version 15.5 veröffentlicht

Wie jeden 22. eines Monats gibt es auch im Oktober ein neues GitLab Release: Version 15.5.

Mit dem in allen Tiers neu verfügbaren Service „GitLab Cloud Seed“ zementiert man die Partnerschaft mit der Google Cloud. Cloud Seed vereinfacht den Konsum von Google Cloud Services direkt aus GitLab. Zum Start kann man Cloud Run, Cloud SQL und Service Accounts direkt „steuern“ – GitLab macht damit weitere Schritte zu einer „Developer Platform“.

Weitere Highlights im aktuellen Release:

• Autocomplete im Content Editor: es können nun GitLab Issues, Epics und User verlinkt werden
• E-Mail bei fehlerhaftem OTP Login: Falls jemand doch euer Passwort hat, und einen fehlerhaften OTP Login versucht – bekommt ihr eine E-Mail – warum machen das nicht alle?
• Error Tracking in GitLab SaaS – war deaktiviert, ist nun wieder da – die Sentry alternative nutzt GitLab ClickHouse für Application Errors.
• Verbesserter GitHub Import für Projekte und GitHub Issues und Pull-Requests
• Tasks können nur mit Labels und einem Datum versehen werden
• Wiki: Nicht gespeicherte Seiten werden nun automatisch gesichert – da hab ich schon öfters in die Tischplatte gebissen – klasse.
• Security Scanning nun auch in Merge Requests Pipelines

Insgesamt kommt 15.5 mit über 50 Verbesserungen – Chapeau.

GitLab 15.5 released with GitLab Cloud Seed and Autocomplete suggestions

Schmunzelecke

Jemand hat Doom auf einem Thermostat installiert – scheinbar zumindest. Das Standbild auf Twitter sagt hierzu wenig aus. Falls wer mehr Details hat, gerne her damit.

Eine alte Hard Disk, geöffnet, beim Access Time Benchmark (Sound on).

💡 Link Tipps aus der Open Source Welt

agg – asciinema gif generator

Das Command Line Tool agg erstellt dir im Handumdrehen ein GIF einer mit asciinema aufgenommenen Terminal Session.
Möchtest du in deiner Dokumentation eine kurze CLI Demo machen, so sind beide Tools gemeinsam ein einfach zu benutzendes Toolset.

https://github.com/asciinema/agg

Open Source Alternativen – Liste

Unter opensourcealternative.to findest Du über 400 Open-Source Alternativen zu dir bekannter Software.
Suchst du beispielsweise nach „Datadog“, so gibt es 6 Alternativen – die mehr oder weniger auch wirklich eine Alternative sein können. Beispielsweise gibt es in der Kategorie „Analytics“ diverse Alternativen zu Google Analytics.

https://www.opensourcealternative.to/

memtest86 Version 6 veröffentlicht

Memtest86+ ist ein Memory Testing tool, welches ein kompletter Rewrite der vorherigen Version 5 darstellt.
Mit Memtest kann man Speicher testen – der blaue Bildschirm sorgt bei dem ein oder Anderen sicherlich für ein paar Nostalgie-Effekte.

https://memtest.org/dev