Link zur Hauptseite des Forums

LotharGehlhaar - Teichbauforum

DAS informative Forum der Koi-Szene
Link zur Enzyklopaedie
Aktuelle Zeit: Do 28.Mär 2024 22:24

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: Sa 01.Jul 2017 19:32 

Cash on hand: Locked
Punkt 1 PwnScriptum

Nach dem Skandal des PhP-Mailer mit dem immer wieder Spam Mails ohne richtigem Absender,
von PhP gewieften Anwender verschickt werden können ...........

Sicherheitsforscher haben eine Lücke in der weit verbreiteten Webmail-Bibliothek PHPMailer veröffentlicht:
Eine fehlerhafte Eingabeüberprüfung lässt sich zum Ausführen missbrauchen.

Auf Deutsch (Klartext):
Mit einem Fehler (?) im PHPMailer ist es möglich, dass die Absenderdaten, die in einem Webformular eingetragen wurden,
ohne weitere Prüfung an den Mailer Sendmail weitergegeben werden können

http://www.henning-uhle.eu/informatik/p ... t-unsicher

Traurig aber wahr dafür, muss man kein Sicherheitsforscher sein, sondern nur langjähriger PhP.-Anwender.

Diese Möglichkeit hat mir Hier ein Bekannter User schon vor ein paar Jahren erzähl,
als das Thema E. Mailversand mit dem Raspberry Pi anstand.

Und wenn der Spammer seine Software nicht aktualisiert, kann er das auch weiter so machen!


12.2016 Quelle: https://legalhackers.com/advisories/PHP ... -Vuln.html
https://www.heise.de/newsticker/meldung ... 82072.html




Punkt 2 PhP. Update für unseren Raspberry Pi

Wo bleibt ein ordentliches PhP. Update für unseren Raspberry Pi

Grund Ende des aktiven Supports für PHP 5.6 schon am 1. Januar 2017
Sicherheitslöcher in PHP 5.6 werden wohl noch bis 12. 2018 gestopft aber mehr auch nicht!!!!!

Quelle: https://www.heise.de/developer/meldung/ ... view=audio
für lesende
https://www.heise.de/developer/meldung/ ... 83353.html

Der letzte ordentliche Installer ist für PhP 5.6.30. die abgelaufene bzw Abgekündigte Version.
ohne die 64-Bit-Architektur

Dateianhang:
jessie.jpg


Nun ich habe RASPELBIAN-Jessie was ursprünglich am 26. April 2015 freigegeben wurde,
als auch RASPELBIAN-Stretch wurde am 17. Juni 2017 veröffentlicht installiert.

Wobei Debian 9 RASPELBIAN-Stretch noch bekannte größere Probleme hat.

Angefangen sind wir mit RASPELBIAN-Wheezy und profitiert bis Ende Mai 2018 noch vom Long Term Support

Quelle https://wiki.debian.org/LTS

Na ja über Umwege kommt man an PhP 7.0.xxx, aber nicht an die aktuelleren 7.1xxxxx nur ohne Überprüfung.

Warum ist das alles nicht mehr wie zu unseren Anfängen, evtl. keine so große Nachfrage (Hype um den Raspberry Pi) mehr, wie auch hier im Forum zusehen ist???


Nach oben
  
 
BeitragVerfasst: So 02.Jul 2017 12:00 
Offline
Realer User
Realer User
Benutzeravatar

Registriert: Mo 14.Nov 2005 20:39
Cash on hand:
5.718,34 Taler

Beiträge: 14509
Wohnort: 07548 Gera
Hallo Paul,

Fischkopf hat geschrieben:
Nach dem Skandal des PhP-Mailer mit dem immer wieder Spam Mails ohne richtigem Absender,
von PhP gewieften Anwender verschickt werden können ...........

dass man Mails mit falschem Absender versenden kann, ist ein alter Hut. Aber bitte vrwechsele nicht PHP mit diesem PHP-Mailer! Änderungen in künftigen PHP-Versionen bringen da kein Bissl Sicherheit, denn ein Spammer kann sich jederzeit ein uraltes PHP auf seinen Rechner ziehen und fröhlich vor sich hin spammen. Und bei Software, die quelloffen ist, bringen diese Aktionen ohnehin nichts. Ein Spammer könnte sich die modernste PHP-Version hernehmen, den Spam-Schutz aus dem Quelltext herausnehmen und neu kompilieren.
Das Problem ist also nicht die PHP-Version, sondern dass Mailserver diese Post annehmen. Nur hier wäre ein Spamschutz sinnvoll.

Und der Link, den Du gepostet hast, betrifft nicht die Programmiersprache PHP, sondern die Webmailsoftware PwnScriptum. Ich kann mir nicht vorstellen, dass diese Software irgendjemand auf einem Raspi neben der Teichsoftware installiert. Also Entwarnung!
Und wer ein bissl spielt, kann sich auch die Warnmeldungen von unserer Teichsoftware sogar von donald@whitehouse.gov versenden lassen - ein origineller Gag, oder?






Fischkopf hat geschrieben:
Wo bleibt ein ordentliches PhP. Update für unseren Raspberry Pi

Keine Bange. Das PHP, welches gegenwärtig in Raspbian mitgeliefert wird, ist schon so ordentlich, dass es alle Funktionen unterstützt, die unsere Teichsoftware braucht.

Fischkopf hat geschrieben:
Grund Ende des aktiven Supports für PHP 5.6 schon am 1. Januar 2017
Sicherheitslöcher in PHP 5.6 werden wohl noch bis 12. 2018 gestopft aber mehr auch nicht!!!!!

Wenn Server angegriffen werden, so sind die Löcher fast ausnahmslos in unsicher programmierter Anwendungssoftware zu finden, nicht in PHP selbst. Insofern keinen Stress bitte!


Fischkopf hat geschrieben:
Na ja über Umwege kommt man an PhP 7.0.xxx, aber nicht an die aktuelleren 7.1xxxxx nur ohne Überprüfung.

Das Update auf höhere PHP-Versionen bringt nicht nur Vorteile mit sich. Meist hat neuere Software mehr Features als die Vorgängerversion. Damit wird gerne geworben. Dabei verschweigen die Werber gerne, dass mehr Features mit einer höheren Auslastung der CPU einher gehen. Der Rechner fühlt sich von Update zu Update langsamer an. Die Updates führen letztendlich zu einer geplanten Obsoleszenz unserer Rechner. Wer weiß, ob die Raspis der ersten Generation dann noch mit der neuesten PHP-Version präzise Ultraschallmessungen vornehmen können? (Ob das beim Versionssprung bei PHP auch so ist, entzieht sich meiner Kenntnis.)

Und da ist auch noch ein zweites Problem - die mangelnde 100%ige Abwärtskompatibilität. Die betrifft auch unsere Teichsoftware. Aktuell werden noch MySQL-Aufrufe verwendet, während diese Bibliothek obsolet ist und in kommenden Versionen nicht mehr unterstützt wird.
Kein gorßes Problem. Gegenwärtig bin ich dabei, die DB-Klasse von mysql auf mysqli umzuschreiben. Die Hälfte der Funktionen macht schon, was sie soll. Wenn alles funktioniert, wird die eine Datei in dem Standardverzeichnis ausgetauscht und die Teichsoftware bleibt auch mit künftigen Images lauffähig.

Fischkopf hat geschrieben:
Warum ist das alles nicht mehr wie zu unseren Anfängen, evtl. keine so große Nachfrage (Hype um den Raspberry Pi) mehr, wie auch hier im Forum zusehen ist???

Ja, was soll passieren? Mein Teichraspi stecht jetzt schon etwa 1 Jahr in seiner Hülse, ohne dass ich ihn mal herausgezogen habe. Mutmaßlich wohnen da eine Unmenge Spinnen drin, weil es ein paar Grad wärmer da drin ist, als in der Umgebung. Der Raspi macht ganz unspektakulär, was er soll. Wie soll da der Hype, den wir vor einiger Zeit hier hatten, wach bleiben?

Bekanntlich musste ich für die Arbeit an der Teichsoftware mal ein Jahr Schaffenspause einlegen. Konsequenterweise kamen keine neuen Features dazu und deshalb war hier weniger zu lesen. Die Raspis machen eben relativ geräuschlos ihre Jobs, wie wir das auch von so manchem Vliesfilter kennen.


Pfiffikus,
der keinesfalls beunruhigt ist


Nach oben
 Profil userposition on geomap  
 
BeitragVerfasst: So 02.Jul 2017 14:15 

Cash on hand: Locked
Hallo Gunter,

Pfiffikus hat geschrieben:
dass man Mails mit falschem Absender versenden kann, ist ein alter Hut

Ja, das hast Du mir vor Jahren schon gesagt!!!!
Fischkopf hat geschrieben:
Diese Möglichkeit hat mir Hier ein Bekannter User schon vor ein paar Jahren erzähl,
als das Thema E. Mailversand mit dem Raspberry Pi anstand.


Pfiffikus hat geschrieben:
Aber bitte vrwechsele nicht PHP mit diesem PHP-Mailer!
Und der Link, den Du gepostet hast, betrifft nicht die Programmiersprache PHP......


Nein das habe ich auch nicht verwechselt und ich dachte Du kannst noch Latein (lat. lingua latina)
Scriptum Geschriebenes, (Mail, Brief usw.)
Scriptorium Schreibstube
Scriptorium delicti Schreibtisch-Täter :mrgreen:






Pfiffikus hat geschrieben:
Also Entwarnung!


Pfiffikus hat geschrieben:
Pfiffikus,
der keinesfalls beunruhigt ist


Ich habe hier keine Warnungen oder ähnliches Ausgesprochen!!!

Beunruhigt bin ich auch NICHT, weder über meine Steuerung ob am Teich 1 und 2 usw. oder anderswo at Home!! :hallo:

Ich bin eher Enttäuscht über die mangelnde zusammen Arbeit der Softwareentwickler für den Raspberry Pi :roll:

Als erstes kam RASPELBIAN-Jessie was ursprünglich am 26. April 2015 ,
dann die 64 Bit Hardware Pi 3 Model B Februar 2016 und nun fehlt immer noch ein Teil der Software mit 64-Bit-Architektur.

Die 64 Bit PhP Software ist aber doch schon lange vorhanden nur für RASPELBIAN-Jessie nicht freigegeben.

Das ärgert mich ein wenig, da ich gerade einen neuen Raspberry Pi Nr.4 Pi 3 Model B für eine Pool-Steuerung aufsetze.
Da hier die alte C-Control https://de.wikipedia.org/wiki/C-Control ausgedient hat!

Die Plug and Play USB-Sonden dazu hatte ich ja schon mal vorgestellt.
Um nicht irgendwann alles wie der auf neue PhP-Befehle um zustellen, wollte ich damit sofort einsteigen. :hallo:

Pfiffikus hat geschrieben:
Bekanntlich musste ich für die Arbeit an der Teichsoftware mal ein Jahr Schaffenspause einlegen.....


Ist zwar schade Gunter, aber darum ging es mir nicht, sondern es war ganz allgemein gemeint mit dem vergangene Hype um den Raspberry Pi.

Was mich wundert das mein Dateianhang bzw. der Post 3451-mal betrachtet wurde ?????


ʞɔnๅ pooɓ


Nach oben
  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de