Am Freitag, dem dritten Mai, wurde ein Warnhinweis (Advisory) auf eine weit verbreitete Fehlkonfiguration in der Kombination von Exim mit Dovecot publiziert: ein offenbar seit 23.10.2009 im Dovecot-Wiki veröffentliches Konfigurationsbeispiel für Exim, mit dem eingehende E-Mails durch den zu Dovecot gehörenden LDA deliver ausgeliefert werden sollen, enthielt auch die Option “use_shell”, die dazu führt, dass der Aufruf insgesamt zur Ausführung an die Shell weitergegeben wird. Das is potentiell unsicher, wie auch die Exim-Dokumentation erläutert:

Not running the command under a shell (by default) lessens the security risks in cases when a command from a user’s filter file is built out of data that was taken from an incoming message. If a shell is required, it can of course be explicitly specified as the command to be run. However, there are circumstances where existing commands (for example, in .forward files) expect to be run under a shell and cannot easily be modified. To allow for these cases, there is an option called use_shell, which changes the way the pipe transport works. Instead of breaking up the command line as just described, it expands it as a single string and passes the result to /bin/sh. The restrict_to_path option and the $pipe_addresses facility cannot be used with use_shell, and the whole mechanism is inherently less secure.

Wenn es jemandem gelingt, ausführbaren Code in diesen Aufruf einzuschleusen, kann er fremden Code mit den Rechten von Exim ausführen, die im Moment der Auslieferung von Mail mit dem LDA deliver bestenfalls Zugriff auf alle Mailboxen ermöglichen und bei leichtsinniger Konfiguration - die im Dovecot-Wiki als eine Konfigurationsmöglichkeit ausdrücklich genannt wird! - schlimmstenfalls sogar root sind. Und dieses Einschleusen ist ausgesprochen einfach, enthält der Aufruf von deliver doch u.a. den Absender der E-Mail, den sog. Envelope-From (oder auch Return-Path), bspw. so:

command = /usr/local/libexec/dovecot/dovecot-lda -d $local_part@$domain  -f $sender_address

$sender_address ist hier der problematische Parameter, denn diesen Parameter kann der Absender der E-Mail frei setzen. Durch die Option use_shell wird der obige Aufruf nach Ersatz der Variablen ohne jede Modifikation komplett an die Shell übergeben und ggf. entsprechender Code ausgeführt.

Am 02.05.2013 wurde das Beispiel im Wiki für Dovecot 1.x und auch in der Dokumentation für Dovecot 2.x berichtigt, am 03.05.2013 wurde das Advisoy veröffentlicht.

Bald zwei Jahre sind seit der letzten Schnapszahl vergangen ... und heute bot sich erneut ein Schnapszahl-Schnappschuss an:

(Ja, ein Großputz wäre mittlerweile wohl zwingend geboten ...)

Ende letzten Jahres bekam ich eine E-Mail von einem Albertio Ward, der meine Webseite schon seit 2000 kennt und gerne die Header-FAQ ins Bulgarische übersetzen würde. Er arbeitet für (s)ein Projekt namens “Bulgarian FCW Science”, ein freemium-model non-English language orientated startup (ich spare mir hier den Versuch einer Übersetzung), in dem wissenschaftliche Artikel, persönliche Notizen usw. in verschiedenen Sprachen seit 1999 (!) gesammelt werden. Über meine Erlaubnis zur Übersetzung würde er sich freuen und auch gerne meinen Namen als Autor nennen und die FAQ verlinken.

Als erstes wollte ich gerne hilfsbereit sein und habe mich natürlich auch gefreut, daß jemand an dem Text Interesse hat. Meiner angeborenen Neugier *ahem* folgend wollte ich aber zuerst mehr über das Projekt erfahren. Seltsamerweise förderte Google dazu nichts zutage; für ein seit 1999 existierendes, mehrsprachiges Projekt etwas ungewöhnlich. Daher (und aus Zeitgründen) hatte ich eine Antwort zunächst zurückgestellt. Auch eine spätere Recherche förderte jedoch nur ähnliche Anfragen wie die an mich gerichtete (wortgleich mit Austausch der personenbezogenen Teile) in verschiedenen Mailinglisten zutage. - Komisch.

Ein halbes Jahr später, im Juni 2012, wandte sich dann ein Mario Pozner an mich, der dieselbe Seite gerne in die ukrainische Sprache übersetzen wollte und für ein Projekt “SOFTcann” arbeitet, ein freemium-model non-English language orientated startup mit wissenschaftlichen Artikeln, persönlichen Notizen usw., daß er seit 2011 editiert. - Jetzt wurde ich aufmerksam, vor allem wegen des Ausdrucks “freemium-model non-English language orientated startup”. Wie wahrscheinlich ist es, binnen eines guten halben Jahres zwei eigenartige Anfragen zur Übersetzung einer Webseite in verschiedene wenig verbreitete Sprachen von verschiedenen Leuten zu erhalten, die für verschiedene Projekte tätig sind, aber ihre Anfragen in Teilen wortgleich formulieren?! Google förderte aber wieder nur ähnliche Anfragen zutage, mehr nicht; auch nichts zum Projekt “SOFTcann”. Daher habe ich eine Antwort wieder zurückgestellt, diesmal aber vor allem aus Mißtrauen.

Nun wandte sich vor wenigen Tagen wieder Mario Pozner an mich, der jetzt für ein Weblog “GM Archive” tätig ist. (Ein vielseitig interessierter Mann!) Einer seiner Leser hat ihm die Header-FAQ empfohlen, und er würde sie gerne in die ukrainische Sprache übersetzen; das tun sie dort beim “GM Archive” für diejenigen, die kein Englisch sprechen. - Heute wollte ich mir nun die Zeit nehmen, diese und die anderen E-Mails mal zu beantworten, um sie endlich aus meiner Inbox zu bekommen; vorher googelte ich (wieder vergeblich) nach dem “GM Archive” (man findet viel dazu aus dem automobilen Bereich ... vermutlich Absicht). Dabei googelte ich erneut auch nach den anderen Begriffen - und endlich ein Treffer!

Ein Wort

Ein Wort der Ermunterung kann Oasen schaffen.

Ein Wort der Hoffnung kann Wüsten zum Grünen bringen.

Ein Wort des Verzeihens kann neues Leben wecken.

Ein Wort der Liebe kann Berge versetzen.

Worte vermögen beinahe alles,
wenn sie aus dem Herzen kommen und zu Herzen gehen.

Nach einem guten Jahr habe ich mal wieder Zeit zu einer kleinen Änderung in checkmail gefunden, die ich dann sogleich als Version 0.5 released habe.

checkmail überprüft die ihm übergebenen E-Mail-Adressen nun zunächst auf syntaktische Richtigkeit (wobei allerdings auf der Domain-Seite keine in eckigen Klammern stehenden IP-Adressen akzeptiert werden), bevor er weitere Tests damit durchführt.

Die Dokumentation wurde entsprechend aktualisiert.

Die aktuelle Version steht jeweils auf meiner Downloadseite zur Verfügung.

Landroval sieht neben allem anderen auch noch gut aus.

Es war mal wieder Zeit für eine Erneuerung im hiesigen Rechnerpark, und so habe ich mir nach längerem Überlegen einen neuen Laptop gegönnt, der den gut drei Jahre alten Vorgänger ablösen soll - und gestern wurde er geliefert und ist mittlerweile schon fast vollständig eingerichtet.

In gewisser Weise ist das ein Novum - ich glaube nämlich, es ist das erste Mal, daß ein Gerät drei Jahre gehalten hat, ohne in irgendeiner Weise auszufallen. Der Vorgänger des jetzt in den Ruhestand geschickten Rechners hat nach ziemlich genau drei Jahren (wohl aufgrund einer Beschädigung am Mainboard) begonnen, regelmäßig einzufrieren, der Vor-Vorgänger wurde nach nur einem Jahr Opfer meiner Ungeschicklichkeit und eines noch recht vollen Glases guten Weins, und dessen Vorgänger wiederum zeigte nach gut vier Jahren sehr intensiver Nutzung massive Abnutzungen an der Hardware (gebrochene Displayscharniere und andere unschöne Dinge), außerdem entsprach er natürlich nicht mehr dem aktuellen Stand der Technik.

Und das ist auch direkt das passende Stichwort: auch wenn der bisherige Laptop “noch gut war”, der neue ist viel besser. Eine flinkere CPU, mehr Speicher, ein aktuelles Betriebssystem, die eingebaute UMTS-Karte und sogar ein nicht nur großer - im Sinne von “breit” -, sondern auch ausreichend hoher Bildschirm machen beim Arbeiten wieder mehr Freude.

Entschieden habe ich mich erneut für einen Thinkpad (ehemals IBM, jetzt seit Jahren schon von Lenovo) entschlossen, diesmal einen T520 mit einigen Extras, und zum ersten Mal mit Windows 7 in der 64bit-Variante als Betriebssystem. Die beiden Vorgänger waren zwar auch Thinkpads (T61 und R52), liefen aber noch unter Windows XP. In der Namensgebung habe ich mich am bisherigen Schema orientiert, nachdem meine privaten Rechner in der Regel Namen aus Tolkiens Werk, ersatzweise generische Bezeichnungen, erhalten (tragbare Rechner: Vögel oder Insekten, Desktops: Drachen).

Auf meiner Homepage findet sich eine Übersicht der derzeit in Betrieb befindlichen Rechner (und deren Vorgänger) mit den technischen Daten.

Vor ungefähr einem Jahr hatte ich die Gelegenheit wahrgenommen, im richtigen Moment das Interieur meines treuen vierrädrigen Gefährten abzulichten.

Heute ist es - an einem (voraussichtlich sehr langen ...) Schnapszahltag - wieder soweit (und diesmal hatte ich vorgeplant und daher eine geeignete Haltemöglichkeit zur Hand):

(Ja, okay, man könnte mal wieder putzen ...)

Vor einem guten Jahr, im Januar 2010, hatte ich zusammen mit Michael Ottenbruch die Pflege der in de.admin.infos veröffentlichten FAQ “Erlaeuterungen zur Einrichtung neuer Gruppen in de.*”, des sog. dana-Manuals, übernommen, das damals in der unveränderten Fassung aus dem April 2001 gepostet wurde; Anlaß war die Diskussion um Änderungen der Einrichtungsregeln für Newsgroups in de.*, in der sich Anlaß zur Ergänzung des Textes ergab. Dabei stellte sich heraus, daß der damalige Maintainer der FAQ bereits seit Jahren davon ausging, daß andere die weitere Pflege übernehmen wollten bzw. übernommen hätten - so fanden sich dann Michael und ich zusammen, um uns der Aufgabe zu stellen.

Im März 2010 waren wir dann so weit, eine erste Aktualisierung - im wesentlichen unter Weglassung überholter Teile und mit einigen wenigen Ergänzungen - veröffentlichen zu können. Darauf sollte dann die komplette Überarbeitung des Textes folgen, für die wir bereits damals Stichpunkte und eine Gliederung zusammengetragen hatten. So recht wollte die Umsetzung dann aber nicht in Schwung kommen; immer wieder kamen das tägliche Leben oder andere Projekte dazwischen, bis wir das Thema dann nach einem guten Jahr im März diesen Jahres wieder aufgenommen haben. (Hilfreich waren dabei auf meiner Seite sicherlich auch zwei mehrstündige Zugfahrten, in denen sich längere Abschnitte der Überarbeitung zusammenstellen ließen.) Nach mehreren Überarbeitungsgängen ist es jetzt soweit, daß die erste Version des komplett überarbeiteten Manuals veröffentlicht werden kann (im Web und wöchentlich auch in der Newsgroup de.admin.infos).

Weitere Änderungen und Ergänzungen nehmen wir natürlich jederzeit gerne entgegen.