Veni, Vidi, VISA

965 Tage um genau zu sein; oder 127 Wochen und 6 Tage. Es gab weder ein traumatisches Erlebnis, noch höhere Gewalt die mich davon abhielt hier etwas zu schreiben. Ich hatte schlicht und einfach keine Lust, aber das hat sich wieder geändert. Grund dafür ist die chronische Langeweile und die Tatsache das sich einiges an Dokumentationen und Patchen (Patches?) angesammelt hat, die ich nach und nach hochladen werden.

Softwaremäßig ist bei mir noch alles so gut wie unverändert. Anstelle von GNU Screen verwende ich nunmehr seit knapp sechs Jahren tmux, Mutt wurde durch NeoMutt ersetzt (Mutt mit diversen Patchen), mein BlackBerry musste einem Motorola Defy+ weichen, welches - nachdem es mir tierisch auf die Eier gegangen ist - durch ein Samsung Galaxy S6 ersetzt wurde (die Daten auf dem Motorola wurden fachgemäß mit einer .338 Lapua durch einen befreundetem Jäger unbrauchbar gemacht).
Was gibt es sonst noch zu sagen.. Ich hab nach einer Lymphknotenentzündung das Rauchen aufgehört (Mitte 2014 oder so). Aikido mache ich auch nicht mehr, sondern im Learn 2 Fight in Regensburg Krav Maga und bin seit Anfang des Jahres auf dem Mountainbike-Trip.

Wie dem auch sei.. ich werde dieses Blog wieder regelmäßig mit Beiträgen füllen und nach und nach diverse Dokumentationen hochladen. Das einzige was passieren kann, ist das das Blog mal kurzzeitig offline ist, weil ich es - wie gewohnt - beim Update zerschieße.

Nach einem Update auf Firefox Aurora 26.0a war mein Flash-Plugin plötzlich weg bzw. hat nicht mehr funktioniert (k/a wieso; hab den Changelog nicht gelesen), aber folgendes hat Abhilfe geschaffen:

$ sudo mkdir -p /opt/flashplugin

$ cd /opt/flashplugin

$ sudo tar -xf /path/to/flashplugin.tar.gz

# Oder 11; je nachdem welche Version man runtergeladen hat

$ sudo update-alternatives --install /usr/lib/mozilla/plugins/flash-mozilla.so flash-mozilla.so /opt/flashplugin/libflashplayer.so 10

$ sudo update-alternatives --set flash-mozilla.so /opt/flashplugin/libflashplayer.so

Serendipity bundles the powerful Xinha WYSIWYG editor to provide its functionality to our users.

Xinha ships with several plugins that utilize PHP scripting for special usage, like the ImageManager or ExtendedFileManager. A 0-day security exploit has been reported available as of today that exploits the functionality of these plugins to upload malicious files to your webspace, to execute foreign code.

Since no official patch has been made on the Xinha side, the Serendipity Team has released an updated version where those active Xinha-Plugins are no longer executable.

If you do not wish to apply the patch to the most recent Serendipity version 1.5.5 you can remove those files:

• htmlarea/contrib/php-xinha.php
• htmlarea/plugins/ExtendedFileManager/config.inc.php
• htmlarea/plugins/FormOperations/formmail.php
• htmlarea/plugins/HtmlTidy/html-tidy-logic.php
• htmlarea/plugins/ImageManager/config.inc.php
• htmlarea/plugins/InsertPicture/InsertPicture.php
• htmlarea/plugins/InsertSnippet/snippets.php
• htmlarea/plugins/SpellChecker/aspell_setup.php
• htmlarea/plugins/SpellChecker/spell-check-logic.php
• htmlarea/plugins/SuperClean/tidy.php

The provided functionality is usually not enabled by default, since Serendipity provides its own media file manager.

Future serendipity releases might re-enable these features, once they are safely patched.

To see if you are infected, please check the directories htmlarea/plugins/ImageManager/demo_images and htmlarea/plugins/ExtendedFileManager/demo_images to see if files have been uploaded there. If so, delete the files and check your webspace for other modified files, as well as change your passwords for FTP and SQL access. Please upgrade as soon as possible.

The release can be found on the Serendipity Download page. All serendipity versions from 1.4 to 1.6 (alpha) are affected. 1.6 alpha users should migrate to a recent SVN head checkout or tomorrow's snapshot.

Thanks a lot to Hauser & Wenz for reporting the issue. Serendipity fully acknowledges responsible full disclosure, non-reported 0-day exploits are helping nobody of true OpenSource spirit.

Quelle: http://blog.s9y.org/

Wenn sich Debian/testing ein update/dist-upgrade mit folgender Fehlermeldung quittiert:

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

E: Sub-process /usr/bin/dpkg returned an error code (1)

A package failed to install.  Trying to recover:

Setting up linux-image-2.6.32-5-686 (2.6.32-15) ...

Running depmod.

Running update-initramfs.

update-initramfs: Generating /boot/initrd.img-2.6.32-5-686

initrd.img(/boot/initrd.img-2.6.32-5-686

) points to /boot/initrd.img-2.6.32-5-686

 (/boot/initrd.img-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

vmlinuz(/boot/vmlinuz-2.6.32-5-686

) points to /boot/vmlinuz-2.6.32-5-686

 (/boot/vmlinuz-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

Running update-grub.

User postinst hook script [update-grub] failed to execute: No such file or directory

dpkg: error processing linux-image-2.6.32-5-686 (--configure):

 subprocess installed post-installation script returned error exit status 255

dpkg: dependency problems prevent configuration of linux-image-2.6-686:

 linux-image-2.6-686 depends on linux-image-2.6.32-5-686; however:

  Package linux-image-2.6.32-5-686 is not configured yet.

dpkg: error processing linux-image-2.6-686 (--configure):

 dependency problems - leaving unconfigured

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

Reading package lists... Done

Building dependency tree

Reading state information... Done

Reading extended state information... Done

Initializing package states... Done

Reading task descriptions... Done

dann hilft es nichts zu beteuern das man schon Jahrzehnte lang mit Linux arbeitet und sonst immer jedes Problem lösen konnte und das garantiert ein schwerwiegender Bug von Debian sein muss. Da sollte man einfach nur die Fehlermeldung lesen, feststellen das update-grub nicht vorhanden ist, das mit apt-file search update-grub suchen und dann das Paket mit aptitude(8) installieren.
Die geballte Fachkompetenz einiger Admins treibt mir regelmäßig Tränen in die Augen und das Essen aus dem Magen.

$USER: Ich hab außer unserem Update-Skript wirklich nix angeklickt und trotzdem kommen beim Start von jedem Programm lauter Fehlermeldungen!
$ME: (cat update-skirpt -> enthält nur ein sudo apt-get update ; sudo apt-get upgrade)
$USER: Das Skript hat unser Admin so geschrieben, weil wir einige aktuelle Programme brauchen.
$ME: (cat /etc/apt/sources.list enthält nur unstable)
(Als ich dann dem User erklärt habe das unstable seinen Namen nicht ganz zu unrecht trägt, weil da doch mal was Unstable sein kann, kam ein verwunderter Blick und die Erklärung überhaupt:)
$USER: Unser Admin hat gesagt das er nur die Software aktualisiert und nicht das System!

Zuerst hab ich gedacht das das mal wieder eine Ausrede ist, aber ich hab dann auf anderen Workstations genau das gleiche Skript gesehen und von den Usern die exakt gleiche Erklärung bekommen. Der Admin ist latürnich nicht da, sondern im Urlaub.
Manchmal glaub ich wirklich das die das alles mit Absicht machen. Bastarde!

Serendipity 1.5.2 has been released to address the outstanding issue of SQLite installations with Serendipity. Upgrading an earlier version of Serendipity prior to 1.5.1 to this version should work without any problems, fixing the database upgrades that were faulty in Serendipity 1.5.1. This is the same patch that has been advertised in the old blog posting

Users who had upgraded to Serendipity 1.5 already can fix problems by checking the database table 'serendipity' and make sure to insert a md5 hashed password, with hashtype=0.

SQLite users should backup their database file (a random file name ending in .db) before updating. For users of other database systems, the Serendipity 1.5.2 update does not contain any changes and can be left out.

(via blog.s9y.org)

Danke für die Hinweise das es eine neue Version von S9Y gibt (*sigh*), aber ich werde nicht aktualisieren. Nicht weil mir das Update zu kompliziert ist, sondern weil ich keine Lust habe 23 bzw 25M über ftp(1) auf den Webspace zu schaufeln. Abgesehen würde auch nach einem Update von S9Y noch immer der gleiche Schmarrn hier stehen. Danke. Ich habe fertig.

http://blog.s9y.org/archives/211-Serendipity-1.5-released.html

The Serendipity Team is proud to present the final release of Serendipity 1.5. While the earlier beta versions are proven to work fine for many people, it was finally time to package up a real release.

This version mainly addresses login security by changing our method how passwords are stored to use salted SHA1 checksums instead of plain MD5 checksums. This makes password retrieval (rainbow attacks, see special blog posting) through the database virtually impossible. Another thing is improved PHP 5.3 compatibility.

For users of our Bundled WYSIWYG-Editor Xinha users now have the ability to easily customize the appearance of this panel through a "my_custom.js" file inside the template directory (a draft of such a file can be found as fallback default in the htmlarea/ subdirectory).

One cool new feature for developers is that now also templates can register themselves inside the plugin API hooks to execute specific things, that don't require installation of an event plugin.

Other news include:

• new event API hooks
• fixed PDF thumbnail generation
• ability to auto-scroll on borders when Drag/Dropping plugins
• UTC server time zone support
• improvements in the Smarty functions to easier use Serendipity as a CMS for individual entry output.
• quicksearch improvements for doing a wildcard-search when too few searchresults were found on a fixed searchterm
• support for Typepad anti-spam server-checks, additionally to Akismet

Minor improvements since the 1.5-beta1 release:

• more PHP 5.3.0 compatibility improvements
• Disallow uploading any files that contain ".php." in the filename for extra security with Apache MimeMagic-Modules
• expermiental PDO:SQlite support
• usability improvements for the comment moderation panel (bottom-navigation, removed border increase)

The current release can be easily installed on any previous Serendipity installation. Just unpack, upload and visit your admin panel to perform possible database upgrades. Upon first login with an old password, Serendipity will store your old password in the new format - please be sure to make a backup of your Database prior to upgrading, and read the upgrade pointers on Upgrading Serendipity.


Have fun using Serendipity, and let us know on the Forums if you have any issues!

Ich werde demnächst das neue Release einspiele, aber wie man das ja von mir erwartet und auch gewohnt ist, gibts wieder 'n DATABASE_ERROR *sigh*

Nachdem ich es hier schonmal angedroht hab, konnt ich mich vorhin dazu aufraffen und S9Y aktualisieren. Verlief auch (wider Erwarten) ohne Probleme.. mehr oder weniger zumindest. Ich bekomme zwar in der Admin-Oberfläche (nach einiger Ladezeit) einen 500 wenn ich auf Styles Verwalten oder auf Neue Versionen von Seitenleisten-Plugins bzw. Neue Versionen von Ereignis-Plugins klicke, aber rein theoretisch sollte alles funktionieren. Wer irgendwelche Fehler findet, kann mir die im Kommentar beschreiben oder per Mail an drecksupdate@strcat.de schicken.

Ich versuchs zumindest. Also erfreut euch am kommenden DATABASE_ERROR *sigh* Nicht.
Zuviel Arbeit via ftp(1) und noch weniger Lust. Außerdem saugt mein Upstream zur Zeit extremst.