Am 26.01.2021 war es soweit: Eine bereits seit 2011 bestehende Schwachstelle im Tool sudo, das auf so ziemlich jedem Linux-System residiert, wurde in einer koordinierten Aktion geschlossen - und das hieß damit dann auch: Nachtschicht für uns. Denn die fragliche Schwachstelle war gravierend und erlaubte jedem lokalen Benutzer des Systems, sich mit etwas Trickserei root-Privilegen zu verschaffen. Es war also Tempo angesagt!
Bekannt wurde die Lücke unter der Bezeichnung Baron Samedit, eine Anspielung auf Baron Samedi und die Komponente sudoedit, über die die Schwachstelle ausgenutzt werden konnte.
Was lange währt, wird hoffentlich gut. Aktuell werden bei uns viele neue Features fertig, an denen wir schon lange für euch gearbeitet haben. Dazu gehört auch Eins, das sehnlichst von euch erwartet wurde.
Wir haben es euch über Jahre oft versprochen, jetzt ist es endlich so weit: Du kannst zusätzlichen Speicher zu deinen regulären 10GB dazu buchen! Und zwar bis zu 100GB!
Drei Monate ist unser letzter Beitrag zum Thema U7 Storage Performance her - Zeit für ein Update. Viel hat sich getan und es wird sich noch viel mehr tun: Am Ende des Artikels haben wir eine tolle Ankündigung für euch ;)
Dieser Artikel ist eine Fortsetzung unseres letzten Updates von Ende Mai zum Thema U7 Storage Performance. Die dort beschriebene Auslagerung von MySQL, systemd-journald, yum und weitere Bugfixes haben bereits eine große Verbesserung gebracht, besonders weil die Daten aus euren Datenbanken nun viel viel schneller verarbeitet werden können. Das hat uns eine kurze Verschnaufpause gebracht, in der wir natürlich trotzdem weiter an Verbesserungen gearbeitet haben. Das ist aber leichter gesagt als getan.
Etherpad-lite anderswo framen? klar. Eine Content-Security-Policy setzen, obwohl die App kein Feature dazu hat? sicher. Den X-Xss-Protection-Header ausmachen? ohje, bitte nicht (geht aber auch). Jetzt frisch auf deinem Uberspace.
tl;dr: You can now change outgoing HTTP headers using uberspace web header. Have a look at the Manual for more details in English.
Für die kurz angebundenen: uberspace web header set / X-Frame-Options ALLOW - so einfach geht das ab heute. Details dazu gibt es, wie immer, im Manual.
Heute um 13:40 Uhr haben wir die Startscripts unserer qmail-Instanzen unter U6 gepatcht, nachdem bekannt geworden war, dass eine bis dahin als rein theoretische und in der Praxis wohl nicht ausnutzbare Lücke unter bestimmten Umständen eben doch ausnutzbar ist. (U7 ist hiervon nicht betroffen; dort ist die bekannt gewordene Lücke bereits anderweitig geschlossen worden.)
Das Problem ist um 16:04 Uhr behoben worden.
Der eigentlich simpel anmutende Patch, der dafür sorgt, dass qmail-Services mit einem Memory-Limit - wie von DJB propagiert 123456578 - gefahren werden, hatte leider auch zur Folge, dass zum Ausführen von qmail-remote nicht mehr genug Luft war. Während lokal zugestellte Mails nur temporär verzögert zugestellt worden sind, weil eine fehlgeschlagene Ausführung von qmail-local nur zu einem “deferral” führt, führt die fehlgeschlagene Ausführung von qmail-remote direkt zu einem “failure” und qmail generiert eine Bouncemail - die dann aus dem gleichen Grund nicht zustellbar ist. qmail erstellt daraufhin eine Mail an uns als Postmaster, die über die Unzustellbarkeit der Bouncemail informiert, und, richtig geraten, jene ist aus dem gleichen Grund nicht zustellbar gewesen. Damit wird die Mail als “triple bounce” abschließend verworfen und Mails, die wir nach draußen schicken wollten, unwiderruflich verloren - sowohl jene, die per Relaying rausgeschickt worden sind, als auch jene, deren lokale Zieladresse eine Weiterleitung darstellte.
is.uberspace.online sagt euch zu jeder Tages- und Nachtzeit, wie es um unsere Infrastruktur steht. Wir veröffentlichen dort geplante Wartungsarbeiten, aber auch spontane Gebrechen sowie die Entwarnungen zu beiden. Aber wie läuft das eigentlich im Hintergrund ab?
Die meisten Statusseiten wie die von Pretix oder Intercom haben nur eine Hand voll Komponenten, über die berichtet wird: Website, API und vielleicht ein diffuses “Kundensysteme”. Für viele Anbieter ist das auch vollkommen ausreichend: Ist der Service down, ist er eben für alle down. Andere wie DigitalOcean gehen mehr ins Detail und listen ihre zwölf Standorte. Auch hier: Standort weg, alle Kunden an dem Standort weg - vereinfacht gesagt.