Der in der letzten Woche angekündigte Imgproxy Vortrag von mir auf der stackconf ist mittlerweile online einzusehen – schau ihn dir gerne mal und schreib mir Feedback dazu.
Das komplette Archiv aller stackconf Vorträge ist ebenfalls online – die Übersicht findest du hier.
Im „Happy Bootstrapping“ Podcast hatte ich diese Woche den Indie Hacker Sebastian Röhl zu Gast. Er baut 3 Apps mit Flutter, die dir helfen, deine Gewohnheiten zu tracken und zu visualisieren. Eine davon, HabitKit, nutze ich selber sehr gerne. Du findest Folge 42 von Happy Bootstrapping im Player deiner Wahl oder hier bei Spotify und hier bei Apple Podcasts.
allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Cloudflare Birthday Week 2023 Announcements
Bei Cloudflare gab es in der letzten Woche mal wieder eine „Birthday Week“ – mit vielen Announcements, neuen Features und natürlich auch AI!
Ich versuche mal ein paar der Highlights herauszupicken, alle 40 Neuerungen findest du auf der verlinkten „Wrap-up“ Page bei Cloudflare.
- Cloudflare Nutzung minimiert die CO2-Emissionen um bis zu 96 % – na gut, mit „bis zu“ Aussagen sollte man immer vorsichtig sein. Hier geht es jedenfalls um die Minimierung durch Zentralisierung von Diensten, wie Firewalls, WAN, WAF, Loadbalancing, DDoS Schutz und co.
- Mit der Hilfe des neuen Produktes Cloudflare Trace kannst du nun viel einfacher debuggen, welchen Weg ein HTTP request durch die Cloudflare Infrastruktur nimmt. Also an welcher Stelle greift eine WAF Regel, wann eine Page Rule und so weiter. Auf der Release Page im Cloudflare Blog findet sich zudem ein Schaubild, welches den „Life of a Request through Cloudflare“ visualisiert.
- Cloudflare Fonts – soll eine schnellere und privatere Lösung zu den beliebten Google Fonts sein. Im Blog gibt es dann zusätzlich eine Erklärung, warum CF Fonts schneller seinen als die Auslieferung via Google. Was Privatsphäre betrifft, bin ich dann aber doch eher im Team „Bunny Fonts“ von BunnyCDN.
- Die fein granularen „Cloudflare Account Permissions“ sind nun für alle Accounts verfügbar (vormals nur für Enterprise Kunden verfügbar)
- Mit den Cloudflare Incident Alerts bekommt man jetzt die Möglichkeit, sich bei Cloudflare Incidents direkt informieren zu lassen – beispielsweise bei Problemen mit den Cloudflare DNS Resolvern (siehe unten).
- Über den Wert der AWS IP-Adressen (und die Kosten für die User) hatte ich in Ausgabe 117 berichtet. Cloudflare zeigt nun in einem Blog-Artikel, wie man die „2 Milliarden IPv4 Steuer“ umgehen kann – nämlich über die Default Dual-Stack Infrastruktur von Cloudflare. Man muss dazu nur seine Services bei AWS via IPv6 bereitstellen – Cloudflare kümmert sich dann um die Verfügbarkeit via V4 und V6. Geht aber halt bisher nicht mit jedem Dienst von Cloudflare.
- Wie der regelmäßige Leser weiß, stehe ich auf schnelle Bildauslieferung im Internet – Cloudflare merged dazu „Cloudflare Images“ und „Image Resizing“ in ein Produkt und vereinfacht zusätzlich die Preisgestaltung – Chapeau – das war bisher ja auch nicht so einfach zu verstehen.
- Die neue Cloudflare Serverless Datenbank D1 ist nun in „open beta“ verfügbar und kann von jedem „Worker“ Kunden verwendet werden.
- Die Cloudflare Worker können nun AI Modelle auf GPUs rechnen und haben ein neues Preismodell bekommen
Das waren, wie zuvor erwähnt, nur ein paar der vielen Announcements – welche Features haben die am besten gefallen oder verwendest du gar schon?
Birthday Week recap: everything we announced — plus an AI-powered opportunity for startups
„Return to Office Is Bullshit And Everyone Knows It“
Die Überschrift des Artikels habe ich mal einfach so übernommen, damit ich den Clickbait Wert auch wirklich erhalte
Der Autor des verlinkten Artikels ist nur unter seinem Pseudonym Soatok im Internet unterwegs, laut GitHub wohnt er in Florida, USA.
Da der Artikel es auf die Top-Hacker News Postings geschafft hat, wollte ich ihn euch nicht vorenthalten.
Jedenfalls hat Soatok kürzlich seinen Job aufgegeben und möchte, obwohl er normalerweise nicht über Arbeit spricht, aufgrund bestimmter Umstände eine Ausnahme machen. Ursprünglich wurde er 2019 für das Kryptografie-Team eines großen Tech-Unternehmens eingestellt und als 100% remote arbeitender Mitarbeiter angestellt. Für sein Kryptoteam habe alles super effizient und gut funktioniert, und niemand habe sich vorstellen können, die Arbeit wieder in Zukunft „vor Ort zu machen“.
Dann kam aber ein CEO Announcement:
Everyone must return to the office, and virtual employees must relocate.
Exceptions would be few, far between, and required a C-level to sign off on it. Good luck getting an exception before your relocation decision deadline.
Soatok erklärt, dass man niemals einem Ultimatum nachgeben solleund empfiehlt, diejenigen zu meiden, die solche ultimativen Entscheidungen treffen. Er entschied sich dafür, vorzugeben, zu kooperieren, um Zeit für die Suche nach einem neuen Job zu gewinnen.
Er prognostiziert, dass Unternehmen, die Zwangsumzüge durchsetzen, nicht nur ihre Top-Talente verlieren, sondern auch Schwierigkeiten haben werden, für mindestens ein Jahrzehnt neue Talente zu gewinnen.
Vielleicht war die ganze Aktion aber auch nur eine „Soft Layoff“ Taktik, damit die Mitarbeiter freiwillig gehen und niemand entlassen werden muss?
Schließlich hat das ganze Thema auch mit Vertrauen zu tun, gerade wenn man als „Remote Worker“ eingestellt wurde:
Trust arrives on foot, but leaves on horseback.
Vertrauen gewinnen kostet sehr viel mehr Zeit als der Vertrauensverlust.
Return to Office Is Bullshit And Everyone Knows It
Sponsored
Have your head in the clouds?
Das kann mal passieren! Cloud Computing stellt die Cybersicherheit vor neue Herausforderungen; On-Premise und Cloud wachsen zunehmend zusammen und die Funktionalitäten erweitern sich rasant. Dadurch stellt sich Dir die Frage: Wie sicher ist meine Cloudumgebung eigentlich?
Beim Finden der Antwort, unterstützen wir Dich gerne: Das Cloud Security Assessment von SCHUTZWERK schafft Risikotransparenz und hilft Dir Deine Cloud bestmöglich zu schützen.
👩💼 Professionelle Betrachtung: Mit dem Cloud Security Assessment bieten wir Dir eine umfassende Prüfung, die auch die Anbindung an das Unternehmensnetzwerk und die administrativen Prozesse berücksichtigt.
☁️ Individuelle Bewertung: Wir beginnen das Assessment mit einem Workshop zur Analyse möglicher Bedrohungsszenarien, damit wir unsere Arbeit genau auf Deine Situation abstimmen können.
🔎 Sorgfältige Prüfverfahren: Wir führen sowohl automatisierte als auch manuelle Prüfungen durch, um Deine Cloudumgebung auf Herz und Nieren zu untersuchen.
📄 Umfangreicher Report: Wir liefern Dir einen detaillierten Bericht und konkrete Empfehlungen, um Deine Cloud optimal abzusichern.
Pinterest: 11 Millionen User mit nur 6 Engineers
Im Januar 2012 erreichte Pinterest mit nur 6 Engineers 11,7 Millionen monatliche Nutzer, was es zum schnellsten Unternehmen machte, das zu dieser Zeit die Marke von 10 Millionen monatlichen Nutzern überschritt. Pinterest ist ein bildlastiges soziales Netzwerk, in dem Benutzer Bilder auf ihren Pinnwänden speichern können.
Die Lektionen, die Pinterest beim Skalieren gelernt hat, beinhalten die Verwendung bewährter Technologien, einfache Architektur, „booring Technologies“ und Spaß bei der Arbeit. Ursprünglich gestartet im März 2010 mit einem Ingenieur, wuchs das Team und die Nutzerzahlen schnell.
Im Oktober 2011 hatte Pinterest 3,2 Millionen Nutzer und 3 Ingenieure. Durch schnelles Wachstum und eine übermäßig komplexe Architektur, die fünf verschiedene Datenbanktechnologien umfasste, kam es zu Problemen. Ein Fehler im Clustering-Algorithmus führte zu Datenkorruption. Die Lösung bestand darin, auf bewährte und langweiligere Technologien wie MySQL und Memcached umzusteigen und unnötige Technologien zu entfernen.
Im Januar 2012 hatte Pinterest die Architektur vereinfacht und 11 Millionen Nutzer bei 6 Ingenieuren. Die Stack-Beschreibung umfasste bekannte Technologien wie Amazon EC2, MySQL, Memcache und Sharding. Das Sharding der Daten ist dabei manuell erledigt worden und die Nutzer wurden einfach über die Flotte an Shards verteilt.
Bis Oktober 2012 erreichte Pinterest 22 Millionen Nutzer mit 40 Ingenieuren, wobei die Architektur beibehalten und mehr der gleichen Systeme hinzugefügt wurden.
Manchmal macht es einfach Sinn, auf bewährte Technologien zurückzugreifen.
How Pinterest scaled to 11 million users with only 6 engineers
Cloudflare DNS Resolver Outage
Am 4. Oktober war es mal wieder so weit. Das Internet und diverse Services haben nicht zuverlässig funktioniert, vielleicht hast du zu Hause auch erst mal deinen Router resettet und es nicht besser geworden. Was war passiert?
Der weitverbreitete Cloudflare DNS Resolver 1.1.1.1 hatte „Lookup Failures“ – und zwar für Cloudflare Verhältnisse sogar relativ lange. Die Probleme begannen um 7:00 Uhr UTC am 4. Oktober 2023 und dauerten bis 10:30 Uhr an. Während des Incidents wurden 15 % der Queries mit SERVFAIL beantwortet (in der Regel sind es unter 3 %).
Für Clients, die einen Failover machen, ist so ein Zustand schwierig, da der Failover dann auch nicht sauber passiert, da der DNS-Server nicht „komplett down“ war.
Im veröffentlichten Incident Report finden sich ein paar tolle Learnings und ein Satz sticht dabei hervor:
There is one clear message from this incident: do not ever assume that something is not going to change! Many modern systems are built with a long chain of libraries that are pulled into the final executable, each one of those may have bugs or may not be updated early enough for programs to operate correctly when changes in input happen.
Ich finde es erst mal beeindruckend, dass man am selben Tag einen detaillierten Incident Report veröffentlicht. Der Inhalt ist dann ebenfalls super und man erklärt transparent, was denn nun genau schiefgelaufen ist (Zone File Update, falsche Formate und ein paar andere Dinge).
Interessant fand ich zudem, dass man erst mal die Fehler an anderer Stelle sucht, da man nicht damit rechnet, dass ein solcher Service auch mal nicht funktioniert – aber wir Vertrauen Maschinen halt einfach anders als Menschen, oder?
Jedenfalls bietet Cloudflare ja nun die „Incident Alerts“ an, über die man sich bei zukünftigen Outages alarmieren lassen kann, damit man nicht an der falschen Stelle bei sich zu Hause oder in einer Applikation sucht.
1.1.1.1 lookup failures on October 4th, 2023
Kritische RCE Schwachstelle in Exim
Mit CVE-2023-42115 landet der Mail-Server Exim eine hochkritische Lücke mit einem CVSS-Score von 9.8 auf der bekannten Skala.
Die Lücke ist deshalb so gefährlich, da ein potenzieller Angreifer Schadcode ohne Authentifizierung über den SMTP Port 25 auf einem Zielsystem ablegen kann.
Der Code kann dann „erst mal nur“ als Exim User ausgeführt werden. Ist das System selbst nicht aktuell gepatcht, beispielsweise mit einem aktuellen Kernel, so könnte der Angreifer aus dem Benutzerkontext ausbrechen und als ROOT das gesamte System übernehmen.
Exim ist sehr weitverbreitet und wird beispielsweise als Standard MTA in Debian ausgeliefert. Man kann in den öffentlichen Daten von Anfang September hier bei securityspace.com einsehen, dass Exim Mail Server 56,86 % der Mailer ausmachen. Platz 2 belegt Postfix mit 36,68 % der Installationen. Ehrlicherweise hatte ich die Zahlen andersherum im Kopf.
Umso überraschender, dass die Lücke bereits im Juni 2022 von der ZDI (Zero Day Initiative) übermittelt wurde, gefolgt von einer erneuten Übermittlung im April 2023. Das alleine finde ich schon „sehr geduldig“. Da es dann bis Ende September keine Reaktion gab, wurde die Lücke nun veröffentlicht.
Es ist aufgrund des langen Zeitraums wohl davon auszugehen, dass die Lücke nicht nur bei der ZDI und dem Exim Team bekannt war.
Seit dem 3.10.2023 gibt es jetzt einen Fix, der gleich 6 verschiedene Lücken und CVE-2023-42115 behebt und schnell in den Distributionen bereitgestellt werden soll. In Ubuntu sind die Fixes seit dem 4.10.2023 verfügbar, in Debian ebenfalls und bei RedHat – war das Ganze heute (4.10.2023) noch „under investigation“ und es gab keine neuen Exim Pakete.
Exim-Schwachstelle gefährdet unzählige E-Mail-Server
„Looney Tunables“ – Root-Rechte durch glibc Pufferüberlauf
Tja, und passend zur Exim Lücke von oben gibt es eine aktuell passende Lücke in der GNU libc, über welche ein Angreifer mittels Pufferüberlauf Root Rechte erlangen könnten.
Kombiniert mit der Exim Lücke ist das eine gefährliche Kombination – Schadcode nicht-authentifiziert über Port 25 ablegen, code in die user-crontab oder AT Job anlegen, der die „privilege escalation“ ausführt. Darüber ist das System dann kompromittiert und meldet sich in der Regel „zu Hause“ als Betriebsbereit.
Qualys hat die Lücke „Looney Tunables“ getauft. Ein Logo habe ich dazu bisher nicht gesehen.
Die meisten Distributionen haben bereits Patches zur Verfügung gestellt. Aber Achtung: Die meisten (wenn nicht alle) Aktualisierungen der glibc Bibliothek benötigen einen Reboot des Systems, damit die Änderungen auch wirklich aktiv sind – mindestens ist aber ein Neustart aller abhängigen Dienste erforderlich.
Redhat sagt dazu:
Typically, it is sufficient to restart services after applying a non-security glibc erratum (i.e. RHBA rather than RHSA). The restarted services will immediately make use of the new glibc runtime. Until that time, such services will continue to use the earlier version of those libraries, having been loaded by the dynamic linker at service startup.
Es kommt also darauf an – zur Sicherheit immer rebooten und den ganzen Patch Prozess automatisieren (Bei Fragen dazu, gerne melden – oder hier mal einen alten OSDC Talk von mir anschauen).
RedHat listet hier Pakete, die einen Reboot zur vollständigen Aktivierung der neuen Version benötigen – Logischerweise ist kernel* hier gelistet, aber auch glibc, systemd, gnutls, systemd und ein paar weitere.
Ob ein System nach einem Paket-Update benötigt, kannst du unter RedHat/SuSE mittels needs-restarting -r prüfen. Unter Debian, Ubuntu und Co. wird ein File in /var/run/reboot-required angelegt, welches dann auch in der motd ausgespielt wird. Über beide Varianten lässt sich ein Patchvorgang + Reboot automatisieren.
Bei bleepingcomputer gibt es eine weitere Zusammenfassung zur glibc Lücke.
Rechteausweitung durch Pufferüberlauf in glibc
Schwere Sicherheitslücke in cURL – Fix am 11. Oktober 2023
Tja, aller guten Dinge sind bekanntlich drei.
In cURL gibt es ebenfalls eine Sicherheitslücke, die cURL-Maintainer Daniel Stenberg als „worst curl security flaw in a long time“ bezeichnet.
Die Lücke wird unter CVE-2023-38545 geführt und der Fix der als HIGH eingestuften Lücke soll mit dem Release 8.4.0 am 11.10. um 6:00 UTC erfolgen.
Daniel erklärt in einem Post bei GitHub ein paar vage Hintergründe, möchte aber nicht zu sehr ins Detail gehen, damit man bis dahin keinen Schabernack treiben kann.
Auch nicht klar ist, ob es einen Zusammenhang mit der aktuellen Lücke in libwebp gibt, die ursprünglich in Chrome entdeckt wurde.i
High severity vulnerability found in libcurl and curl (October 2023)
InfluxDB Rewrite in Rust abgeschlossen
„GO oder Rust?“ ist eine Diskussion, die man zur Zeit häufiger hört. Während andere „noch mit Go“ anfangen, switchen andere schon wieder auf Sprachen, wie beispielsweise Rust.
Das Team von InfluxDB hat nun den Switch von Go zu Rust erfolgreich abgeschlossen. Einem Hacker News Leser ist dies aufgefallen und niemand Geringeres als der InfluxDB CTO und Co-Founder Paul Dix beantwortet ausführlich, warum und wieso es zum Wechsel kam.
In Kürze:
- No garbage collector
- Fearless concurrency (thanks Rust compiler)
- Performance
- Error handling
- Crates
Man wollte InfluxDB V3 ohnehin aus diversen Gründen neu schreiben und hat sich daher schon 2020 für Rust entschieden. Zusätzlich eine Rolle spielte, dass man jetzt „Apache Arrow DataFusion“ als Engine nutzen wollte, die ebenfalls auf Rust basiert. Arrow bietet unter anderem
Paul erklärt auch in einem weiteren Kommentar, wie die parallele Entwicklung der neuen Version abgelaufen ist und erklärt auch, warum man sich für DataFusion entschieden hat und nicht für DuckDB oder ClickHouse.
Die ganze Arbeit scheint sich ausgezahlt zu haben: In Benchmarks ist die neue InfluxDB Version 3 um 2,5 – 45x schneller als die bisherigen Versionen – hängt natürlich total vom Use-Case ab.
Paul sagt aber auch, dass es wohl der letzte Rewrite ist, solange er bei InfluxDB ist:
As long as I’m at Influx, it’s going to be the last rewrite we’ll ever need. I definitely don’t have the stamina for another one 😉
influxdb officially made the switch from Go => Rust
Schmunzelecke
Ok, der ist alt, aber immer wieder gut.
Volkswagen, das Tool, dass all eure Tests auf automatisch auf „pass“ setzt: https://github.com/auchenberg/volkswagen
Wer witzigen IT Content hat, gerne einfach schicken – thx!
💡 Link Tipps aus der Open Source Welt
Maildev – SMTP Server und Web Interface fürs Testing
Hast du auch schon mal eine Test e-Mail an produktive Kunden verschickt? Hoffentlich nicht.
Mit maildev bekommst du ein feines Tool, mit dessen Hilfe du den Mail-Versand und das Mail-Design lokal schon testen kannst, ohne dass die Test-Mails durchs Internet geschickt werden oder bei [email protected] in der Inbox landen (oder du auf einer Blacklist).Maildev kannst du einfach als Docker Container starten, in deiner NodeJS App direkt einbauen oder auch so konfigurieren, dass nur ausgewählte E-Mails & Domains auch wirklich verschickt werden.
https://github.com/maildev/maildev
Twenty: Open Source CRM
Twenty ist ein Open Source CRM, welches sich in Zukunft zu einer Alternative zu Salesforce entwickeln soll.
In Summe steht Twenty noch am Anfang, aber die Entwicklungsgeschwindigkeit hat zuletzt deutlich zugenommen. Das sieht man an der Release History und der Größe der Releases – im August gab es das große Feature „Tasks“ als neues Feature, im September dann „Views“, „Editable Fields“ und einen CSV Import. Mit dem aktuellen Release 0.1.4 kannst du dann schon Boards frei konfigurieren und viele Dinge mehr.
Alle aktuellen Features und geplanten Neuerungen findest du auf GitHub, inklusive Screenshots. Einfach mal kurz ausprobieren kannst du die Alpha Version hier online.
https://github.com/twentyhq/twenty
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: