keyboard-junkie's posterous

Zend Server 5.0.3 and Zend Server Cluster Manager 5.0.3 are Available for Download

These maintenance releases include:

Support for SLES and openSUSE platforms
PHP 5.2 updated to 5.2.14
PHP 5.3 updated to 5.3.3
Zend Framework updated to 1.10.8
Improvements to the code tracing interface
Improved reliability of Shared Memory infrastructure for Zend Monitor
Improved cluster member disabling/shutdown capabilities
Security and other bug fixes

Download Zend Server 5.0.3 »
Download Zend Server Cluster Manager 5.0.3 »

Happy PHP'ing,
Zend - The PHP Company

Zend Server 5.0.1 is Available for Download

PHP stümpert bei Zufallszahlen

Wie auf heise.de nachzulesen, zeigt sich PHP mal wieder von der eher
schlechteren Seite:

Der Sicherheitsexperte Andreas Bogk warnt, dass die Session-ID eines
an einer PHP-Anwendung angemeldeten Users trotz der jüngsten
Verbesserungen in PHP nach wie vor erratbar ist. Bei genauerem
Hinsehen zeigen die angeblichen Verbesserungen erschreckende Defizite
auf.
Um die einzelnen Seitenabrufe einem angemeldeten User zuordnen zu
können, versieht sie PHP mit einer Session-ID. Damit ein Angreifer
eine Sitzung nicht mit einer gefälschten Session-ID übernehmen kann,
wird diese zufällig gewählt. Fast immer, wenn auf Computern
Zufallszahlen benötigt werden, kommen Pseudo-Zufallszahlengeneratoren
wie der Linear Congruential Generator (LCG) zum Einsatz. Sie erzeugen
durch komplexe mathematische Operationen einen Strom von Zahlen, die
zumindest insoweit zufällig sind, als dass bereits erzeugte Zahlen
nahezu keine Rückschlüsse auf die kommenden erlauben. Wer allerdings
den Anfangszustand – also den Initialisierungswert – des Generators
kennt, kann damit die gleichen Operationen durchführen und somit alle
Pseudozufallszahlen berechnen. Deshalb ist es eminent wichtig,
derartige Generatoren mit wirklich nicht vorhersagbaren Zahlen zu
initialisieren.

Der Hacker Samy Kamkar konnte jedoch zeigen, dass genau dies bei PHP
nicht geschah und er deshalb mit einem kleinen Programm Session-IDs
zumindest so weit vorhersagen konnte, dass das Ausprobieren der
restlichen Möglichkeiten durchführbar wurde. Daraufhin "verbesserte"
das PHP-Team die Initialisierung des LCGs so, dass dieser konkrete
Angriff seit Version PHP 5.3.2 beziehungsweise 5.2.13 nicht mehr
durchführbar ist. Doch wenn man sich die Änderungen im Detail
anschaut, zeigen sich deutliche Schwächen. So kommentiert der
Entwickler eine Änderung mit

/* Add entropy to s2 by calling gettimeofday() again */

Er ruft also als zusätzliche Zufallsquelle kurze Zeit nach dem ersten
Mal ein zweites Mal die Systemzeit ab. Das lässt sich mit jemand
vergleichen, der zu dem Schluss kommt, dass die Zahl X zu leicht zu
erraten ist und sie darauf hin mit X + 23 kombiniert. Wie Bogk es
formuliert: "Da [wird] nicht viel mehr Entropie
hinzugefügt". Immerhin verwendet der Entwickler nur die unteren Bits
der Zeitangabe.

Hinzu kommen weitere Schwächen, die Andreas Bogk in einem Advisory
analysiert. Demnach bleiben nur "wenige Mikrosekunden, und die
Prozess-ID" als Zufallsspender und Bogk kommt zu dem Schluss, dass
sich Session-IDs nach wie vor erraten lassen. Gegen Ende legt er den
PHP-Entwicklern unter anderem nahe, doch ihre Kryptographie-Kenntnisse
aufzufrischen. Nicht betroffen sind übrigens PHP-Installationen, die
die Erweiterung Suhosin einsetzen.

Jetzt verfügbar: Zend Server 5.0!

Endlich da: Zend Server 5.0! Wir freuen uns, Ihnen mitteilen zu können, dass die neue Version von Zend Server ab sofort erhältlich ist.  Mit Zend Server 5.0 können Sie jetzt: •   Zeit bei der Fehlersuche sparen •   die PHP Performance durch Job Queue verbessern •   die neuen PHP 5.3 Features nutzen   Jetzt Zend Server 5.0 testen - hier geht's zum Download » Erfahren Sie mehr über die neue Version - in unseren Webinaren oder auf unserer Website.

earthlings

greetings earthling, how can you be so naive?
this is what you call humanity?

http://veg-tv.info/Earthlings

what next, earhtling?

Hotfix for Zend Server 4.0.6 is Available

[ANNOUNCE] PHP 5.2.12 Released!

The PHP development team would like to announce the immediate
availability of PHP 5.2.12. This release focuses on improving the
stability of the PHP 5.2.x branch with over 60 bug fixes, some of which
are security related.  All users of PHP 5.2 are encouraged to upgrade to
this release.

Security Enhancements and Fixes in PHP 5.2.12:

- Fixed a safe_mode bypass in tempnam() identified by Grzegorz
Stachowiak. (CVE-2009-3557, Rasmus)
- Fixed a open_basedir bypass in posix_mkfifo() identified by Grzegorz
Stachowiak. (CVE-2009-3558, Rasmus)
- Added "max_file_uploads" INI directive, which can be set to limit the
number of file uploads per-request to 20 by default, to prevent possible
DOS via temporary file exhaustion, identified by Bogdan Calin.
(CVE-2009-4017, Ilia)
- Added protection for $_SESSION from interrupt corruption and improved
"session.save_path" check, identified by Stefan Esser. (CVE-2009-4143, Stas)
- Fixed bug #49785 (insufficient input string validation of
htmlspecialchars()). (CVE-2009-4142, Moriyoshi, hello at iwamot dot com)

Key enhancements in PHP 5.2.12 include:

- Fixed unnecessary invocation of setitimer when timeouts have been
disabled. (Arvind Srinivasan)
- Fixed crash in com_print_typeinfo when an invalid typelib is given.
(Pierre)
- Fixed crash in SQLiteDatabase::ArrayQuery() and
SQLiteDatabase::SingleQuery() when calling using Reflection. (Felipe)
- Fixed crash when instantiating PDORow and PDOStatement through
Reflection. (Felipe)
- Fixed memory leak in openssl_pkcs12_export_to_file(). (Felipe)
- Fixed bug #50207 (segmentation fault when concatenating very large
strings on 64bit linux). (Ilia)
- Fixed bug #50162 (Memory leak when fetching timestamp column from
Oracle database). (Felipe)
- Fixed bug #50006 (Segfault caused by uksort()). (Felipe)
- Fixed bug #50005 (Throwing through Reflection modified Exception
object makes segmentation fault). (Felipe)
- Fixed bug #49174 (crash when extending PDOStatement and trying to set
queryString property). (Felipe)
- Fixed bug #49098 (mysqli segfault on error). (Rasmus)
- Over 50 other bug fixes.

Oracle Database 11g Release 2

Oracle Database 11g Release 2
the innovation continues...

Dear keyboard-junkie,

In today's economic climate, the pressure to reduce IT costs can be huge. At the same time, IT is expected to support ever more complex business operations.

But these demands need not clash:

Available now, the latest generation of innovation - Oracle Database 11g Release 2 - delivers unparalleled performance, eliminates unused redundancy and minimizes risk to enable your IT department to realize the dramatic cost savings and top quality service levels demanded by today's businesses.

Learn how you can cut IT costs immediately - visit the Oracle Database 11g Release 2 Resource Center listen to Oracle Executives talk about the latest product, features, developments and news:

• Watch a video where customers discuss the benefits of upgrading
• Read what analysts are saying about Oracle Database 11g Release 2
• Try one of our many online tutorials on Database options
• Register for an Oracle Database 11g Release 2 event near you

Typo3 4.3 ist da

Die Typo3 Association hat Typo3 4.3 freigegeben. Die neue Version des Content Management Systems bringt mit dem Entwicklungs-Framework Extbase, das den Model-View-Controller-Ansatz verfolgt,  ein Werkzeug mit, das es Entwicklern erlaubt, schon jetzt zur kommenden Version 5 kompatible Projekte zu erstellen. Die Templating Engine Fluid ist ebenfalls neu und eine Alternative für Marker Based Templates.

Im Bereich Sicherheit wurde Typo3 4.3 um Unterstützung für RSA-Authentifizierung erweitert, sodass Daten auch dann verschlüsselt übertragen werden können, wenn die Website kein HTTPS beherrscht. Ebenfalls neu ist die Integration von OpenID-Authentifizierung im Front- und im Backend.

Für eine bessere Usability haben die Entwickler Typo3 einen Massen-Uploader spendiert. Der Upload läuft im Hintergrund ab, sodass man während des Hochladens der Dateien weiterarbeiten kann. Ebenfalls neu ist die automatische Code-Vervollständigung im TypoScript-Editor.

Als Extension kann man optional das neue Modul zum Frontend Editing herunterladen. Die Ajax-Erweiterung erlaubt es, die Elemente einer Website per Mausklick zu bearbeiten, zu löschen und sie per Drag & Drop beliebig auf der Seite anzuordnen.

Typo3 4.3 steht auf der Projektseite zum Download bereit. Dort findet man auch die ausführlichen Release Notes mit allen Änderungen.

http://www.heise.de/newsticker/meldung/Typo3-4-3-ist-da-872660.html

ich finds ein wenig schade, dass ich aus dem thema typo3 doch ein wenig raus bin.

Von der Leyen fordert neue Wege in der Diskussion um Internet-Sperren

Am heutigen Montag Abend hat sich die alte und neue Bundesfamilienministerin Ursula von der Leyen erstmals seit dem Regierungswechsel zum Fortgang der Debatte um Internet-Sperren geäußert. Vor Journalisten richtete sie bei einer Preview-Veranstaltung zur CeBIT 2010 in Hannover den Wunsch an die "Netzgemeinde", sich noch stärker an der Diskussion zum Thema zu beteiligen.

In der Rückschau habe sie die Auseinandersetzung an die Entdeckung neuer Kontinente erinnert, konstatierte die Ministerin: "Es sind Leute aus der alten reglementierten Welt aufgebrochen, und da herrschte oft das Recht des Stärkeren. Durch Kommunikation hat es dann eine vorsichtige Koppelung beider Welten gegeben." Die Vereinbarkeit der zwei Welten sei kein Ding der Unmöglichkeit.

Es gehe "um die hochinteressante Debatte, die diese symbolische Diskussion um Kinderpornographie-Sperren im Internet ausgelöst hat, nämlich: Was heisst 'Freiheit im Netz' und wo hört sie auf?" In der Debatte seien "zwei völlig unterschiedliche Formen politischer Legitimation und politischer Beteiligung sichtbar geworden sind: Die einen machen ein Gesetz, und die anderen machen eine Online-Petition." Für die Politik sei die Online-Petition eine völlig neue Art, öffentlichkeitswirksam für ein Anliegen einzutreten und sich politisch zu engagieren: "Dafür muss die Politik Antworten finden und denen, die die Forderungen in den Raum gestellt haben, Schnittstellen bieten."

Es sei in der Koalition zwischen CDU/CSU und FDP vereinbart worden, zu diesem Zweck einen neue Dialogplattform zu schaffen. Man wolle dazu formal neue Wege gehen: "Selbstverständlich wird es die Face-to-Face-Diskussion geben, aber gleichzeitig werden wir die Möglichkeiten des Internet nutzen, Livestream-basiert, und diskutieren in den Foren, in den Blogs. Wir lernen daraus, was passiert ist, aber wir ziehen uns nicht in den Schmollwinkel zurück. Die Metaebene, die grundsätzliche philosophische Diskussion, müssen und wollen wir miteinander führen."

Von der Leyen machte auch klar, dass ihrer Ansicht nach das Zugangserschwerungsgesetz keineswegs endgültig vom Tisch ist. Sie verwies auf die einjährige Aussetzungssphase , die im Koalitionsvertrag vereinbart wurde: "Wir werden danach die Forderung 'Löschen vor Sperren' auf den Prüfstand stellen und an der Umsetzbarkeit im realen Leben messen. Wir müssen erfolgreich sein. Wir werden in einem Jahr Bilanz ziehen und anhand von Zahlen bewerten, wieviele Bilder tatsächlich gefunden worden sind, und wieviele Bilder davon in welcher Zeit durch die Arbeit der obersten Polizeibehörden gelöscht worden sind. Zeit ist Geld, auch in diesem kriminellen Markt. Dann werden wir bewerten können, ob das reicht. Und wo dann nicht gelöscht werden kann, werde ich erneut die Frage stellen müssen: Was tun? Weggucken kann jetzt keiner mehr." (hob/c't)

ja dreht die olle von der leyen nun endgültig am rad?
"Weggucken kann jetzt keiner mehr."
was wollte denn frau von der leyen ursprünglich? stopp und weggucken.
nun haben wir wenigstens die sinnvollere alternative "löschen vor sperren", und da kommt die tante mit so einem spruch, um eben jene sinnvollere alternative zu hinterfragen?
der schuss ging mal wieder gehörig nach hinten los. wann tut diese frau mal endlich etwas, wovon sie auch tatsächlich ahnung hat?