Sunday, May 5. 2013
Am Freitag, dem dritten Mai, wurde ein Warnhinweis (Advisory) auf eine weit verbreitete Fehlkonfiguration in der Kombination von Exim mit Dovecot publiziert: ein offenbar seit 23.10.2009 im Dovecot-Wiki veröffentliches Konfigurationsbeispiel für Exim, mit dem eingehende E-Mails durch den zu Dovecot gehörenden LDA deliver ausgeliefert werden sollen, enthielt auch die Option “use_shell”, die dazu führt, dass der Aufruf insgesamt zur Ausführung an die Shell weitergegeben wird. Das is potentiell unsicher, wie auch die Exim-Dokumentation erläutert:
Not running the command under a shell (by default) lessens the security risks
in cases when a command from a user’s filter file is built out of data that was
taken from an incoming message. If a shell is required, it can of course be
explicitly specified as the command to be run. However, there are circumstances
where existing commands (for example, in .forward files) expect to be run
under a shell and cannot easily be modified. To allow for these cases, there is
an option called use_shell, which changes the way the pipe transport
works. Instead of breaking up the command line as just described, it expands it
as a single string and passes the result to /bin/sh. The
restrict_to_path option and the $pipe_addresses facility cannot be used
with use_shell, and the whole mechanism is inherently less secure.
Wenn es jemandem gelingt, ausführbaren Code in diesen Aufruf einzuschleusen, kann er fremden Code mit den Rechten von Exim ausführen, die im Moment der Auslieferung von Mail mit dem LDA deliver bestenfalls Zugriff auf alle Mailboxen ermöglichen und bei leichtsinniger Konfiguration - die im Dovecot-Wiki als eine Konfigurationsmöglichkeit ausdrücklich genannt wird! - schlimmstenfalls sogar root sind. Und dieses Einschleusen ist ausgesprochen einfach, enthält der Aufruf von deliver doch u.a. den Absender der E-Mail, den sog. Envelope-From (oder auch Return-Path), bspw. so:
command = /usr/local/libexec/dovecot/dovecot-lda -d $local_part@$domain -f $sender_address
$sender_address ist hier der problematische Parameter, denn diesen Parameter kann der Absender der E-Mail frei setzen. Durch die Option use_shell wird der obige Aufruf nach Ersatz der Variablen ohne jede Modifikation komplett an die Shell übergeben und ggf. entsprechender Code ausgeführt.
Am 02.05.2013 wurde das Beispiel im Wiki für Dovecot 1.x und auch in der Dokumentation für Dovecot 2.x berichtigt, am 03.05.2013 wurde das Advisoy veröffentlicht.
Continue reading "Vom Advisory zum Exploit binnen eines Tages"
Sunday, July 17. 2011
Es war mal wieder Zeit für eine Erneuerung im hiesigen Rechnerpark, und
so habe ich mir nach längerem Überlegen einen neuen Laptop gegönnt, der
den gut drei Jahre alten Vorgänger ablösen soll - und gestern wurde er
geliefert und ist mittlerweile schon fast vollständig eingerichtet. 
In gewisser Weise ist das ein Novum - ich glaube nämlich, es ist das erste Mal, daß ein Gerät drei Jahre gehalten hat, ohne in irgendeiner Weise auszufallen. Der Vorgänger des jetzt in den Ruhestand geschickten Rechners hat nach ziemlich genau drei Jahren (wohl aufgrund einer Beschädigung am Mainboard) begonnen, regelmäßig einzufrieren, der Vor-Vorgänger wurde nach nur einem Jahr Opfer meiner Ungeschicklichkeit und eines noch recht vollen Glases guten Weins, und dessen Vorgänger wiederum zeigte nach gut vier Jahren sehr intensiver Nutzung massive Abnutzungen an der Hardware (gebrochene Displayscharniere und andere unschöne Dinge), außerdem entsprach er natürlich nicht mehr dem aktuellen Stand der Technik.
Und das ist auch direkt das passende Stichwort: auch wenn der bisherige Laptop “noch gut war”, der neue ist viel besser. Eine flinkere CPU, mehr Speicher, ein aktuelles Betriebssystem, die eingebaute UMTS-Karte und sogar ein nicht nur großer - im Sinne von “breit” -, sondern auch ausreichend hoher Bildschirm machen beim Arbeiten wieder mehr Freude.
Entschieden habe ich mich erneut für einen Thinkpad (ehemals IBM, jetzt seit Jahren
schon von Lenovo) entschlossen, diesmal einen T520 mit einigen Extras, und zum ersten Mal mit Windows 7 in der 64bit-Variante als Betriebssystem. Die beiden Vorgänger waren zwar auch Thinkpads (T61 und R52), liefen aber noch unter Windows XP. In der Namensgebung habe ich mich am bisherigen Schema orientiert, nachdem meine privaten Rechner in der Regel Namen aus Tolkiens Werk, ersatzweise generische Bezeichnungen, erhalten (tragbare Rechner: Vögel oder Insekten, Desktops: Drachen).
Auf meiner Homepage findet sich eine Übersicht der derzeit in Betrieb befindlichen Rechner (und deren Vorgänger) mit den technischen Daten.
Sunday, April 10. 2011
Wie angekündigt hat T-Online seinen Newsserver mit dem Ende des 31.03.2011 Schlag Mitternacht abgeschaltet; die Peerings wurden bereits einige Minuten zuvor beendet. Und wie erwartet hielt man es nicht für erforderlich, die Kunden - oder auch nur die regelmäßigen Nutzer des Dienstes - davon zu informieren; auch die Mitarbeiter im Support waren offenbar teilweise überrascht, fragten, was denn ein “Newsserver” sei oder hatten zumindest zunächst keine Kenntnis von der Diensteeinstellung - die sie sich, wie man hört, dann über Google verschafften.
Um dem Informationsdefizit zumindest nach besten Kräften abzuhelfen - und aufgrund der geringen Wahrscheinlichkeit, auf das Thema im Web zu stoßen, und angesichts fehlender interner Newsgroups - hatte ich mich entschlossen, zumindest einen Teil der bisherigen Nutzer des T-Online-Newsservers von der bevorstehenden Einstellung des Dienstes per E-Mail zu informieren, auf die bekannten Informationsquellen hinzuweisen und Alternativen zu nennen. Zu diesem Zweck habe ich kurz vor knapp die Postings (nur) der letzten rund 6 Monate (nur) innerhalb von de.* ausgewertet und diejenigen Beiträge extrahiert, die über news.t-online.de gepostet wurden, daraus dann Namen und Absenderadresse herausgezogen und zumindest flüchtig um erkennbare Duplikate bereinigt und dann angemailt. Das führt natürlich zwingend zu mehrfachen Mails an dieselben Personen, zu übersehenen Adressaten, zu Mails auch an solche Nutzer, die schon Bescheid wissen, und es erreicht alle die nicht, die nicht über T-Online posten (sondern primär lesen), die außerhalb von de.* posten, die keine valide Mailadresse im Absender angeben oder ihre Mail nicht lesen ... aber es ist besser als nichts.
 Zu meiner Überraschung kamen immerhin rund 1.000 aktiv schreibende Nutzer des Newsservers von T-Online zusammen; das ist mehr, als ich erwartet hatte. Nach Abzug derjenigen, die weniger als 5 oder 6 Beiträge in den letzten Monaten veröffentlicht hatten, blieben knapp 900 Adressaten übrig, die ich dann mit einem kurzen informativen Text angemailt habe. Gut 100 von diesen E-Mail-Adressen waren unzustellbar. Von den verbleibenden rund 750 Adressaten haben immerhin rund 150 per E-Mail geantwortet (einige andere öffentlich); unter diesen Antworten war überraschenderweise nur eine Beschwerde über die Mailzusendung. Mehreren Dutzend der Antworten ließ sich entnehmen, dass der betreffende Nutzer zuvor nicht von der geplanten Abschaltung informiert war und/oder die E-Mail für einen verfrühten Aprilscherz hielt. Einigen Nachfragen konnte ich noch weitere Tips und Hinweise für den zukünftigen Newszugang mitgeben; einige teilten leider auch mit, das sei nun für sie der Anlaß, sich nach bereits stagnierender Nutzung nunmehr endgültig aus dem Usenet zu verabschieden. Die Mehrzahl scheint aber eine neue Heimat gefunden zu haben.
Monday, March 7. 2011
Wie ich bereits berichtete, will T-Online den Newsserverbetrieb zum Monatsende einstellen. Entsprechende Informationen gingen jetzt zwar immer noch nicht an die Benutzer und Kunden, aber immerhin an die Peers (also die Betreiber der Newsserver, die Postings mit news.t-online.de austauschen):
To: [...]
Subject: peering termination newsfeedXX.sul.t-online.de
From: T-Online Newsmaster [...]
Date: Mon, 07 Mar 2011 10:00:09 +0100
User-Agent: Mutt/1.5.20 (2009-06-14)
Hi,
German Telekom has decided to end its usenet service
news.t-online.de/news.t-online.com
Therefore all usenet peerings will be terminated end of March 2011.
We advise you to remove T-Online (newsfeedXX.sul.t-online.de) from your configuration by 31st of March.
Thank you for peering with us over the years.
Bye,
newsmaster[...]
Mit diesen dürren Worten endet also eine Ära ...
Tuesday, February 22. 2011
Die Telekom hat bekanntlich die Abschaltung des bisherigen Newsservers news.t-online.de zum 31.03.2011 angekündigt.
Für die bisherigen Nutzer dieses Servers bieten sich glücklicherweise einige Alternativen, die sich nur insofern von dem gewohnten Zustand unterscheiden, daß der Newsserver dann nicht mehr vom Zugangsanbieter betrieben wird. Das ist an und für sich nichts ungewöhnliches; viele Usenet-Nutzer benutzen nicht (nur) den Newsserver ihres Zugangsanbieters (schon deshalb, weil nicht jeder Anbieter mehr einen solchen im Portfolio hat), und im Hinblick auf den E-Mail-Dienst ist es gleichfalls nicht ungewöhnlich, statt oder neben der T-Online-E-Mail-Adresse auch eine Adresse bei GMX, web.de und Co. zu benutzen. Neu ist nur, daß eine Anmeldung mit Benutzerkennung und Paßwort erfolgen muß; die gewohnten Newsgroups werden im Regelfall alle weiterhin vorhanden sein. Allenfalls muß die interne Nummerierung des Newsreaders zurückgesetzt werden, damit er neue Beiträge richtig erkennt.
Es genügt also, sich (1) einen - guten - Anbieter auszuwählen, sich (2) dort anzumelden, (3) auf den neuen Newsserver mit Benutzerkennung und Paßwort zuzugreifen und (4) ggf. den Artikelzähler des Newsreaders zurückzusetzen.
Für den ersten Schritt hilft die von Cord Beermann gepflegte Newsserverliste; meine persönlichen Empfehlungen (die sich nur wenig unterscheiden) wären:
- news.individual.de - sozusagen der Referenzserver für das deutschsprachige Usenet, betrieben an und von der Freien Universität Berlin.
Kosten: 10 € im Jahr (in erster Linie zur Vermeidung von Anmeldungen zu Missbrauchszwecken), alle relevanten Newsgroups, lange Haltezeiten, hervorragende Anbindung, guter Support, große FAQ, Verbindungen per SSL möglich. Dort wird auch der Web- und Maildienst der Domain dana.de sowie eines der weltweit drei Relays für moderators.isc.org, also den für moderierte Newsgroups zentralen Weiterleitungsdienst, betrieben; alle Verantwortlichen sind sozusagen Urgesteine des deutschsprachigen Usenet.
- news.solani.org
Kosten: keine, alle relevanten Newsgroups, lange Haltezeiten, sehr gute Anbindung, Verbindungen per SSL möglich.
- news.albasani.net
Kosten: keine, alle relevanten Newsgroups, lange Haltezeiten, sehr gute Anbindung, Verbindungen per SSL möglich. Alexander Bartolich ist derzeit Chair des Big-8 Management Board, also des Selbstverwaltungsgremiums, das die Gruppenlisten der “Big 8” (comp.*,humanities.*,misc.*,news.*,rec.*,sci.*,soc.*,talk.*) pflegt, und betreibt das zweite von drei Relays für moderators.isc.org.
- eternal-september.org
Kosten: keine, alle relevanten Newsgroups, sehr lange Haltezeiten, sehr gute Anbindung, Verbindungen per SSL möglich.
Allerdings bietet keiner der genannten Server sog. “Binaries” an, also Gruppen, in denen keine Texte, sondern Binärdateien (Bilder, Musikstücke, Programme, Filme, ...) gepostet werden.
Fragen zu den genannten und in Betracht kommenden anderen Anbietern kann man am besten in de.comm.provider.usenet stellen.
Der zweite Schritt - die Anmeldung - wird jeweils auf den Webseiten der Anbieter erläutert. Für den dritten und ggf. vierten Schritt finden sich teilweise Anleitungen auf den Webseiten und in den FAQs der jeweiligen Anbieter; ansonsten wird in de.comm.software.newsreader sicherlich gerne weitergeholfen.
Saturday, February 19. 2011
... oder: Ein Tod auf Raten.
T-Online war - unbeschadet verschiedener Ein- und Ausgliederungen und Umbenennungen - lange Jahre ein besonderer Provider. Nicht nur, weil man immer etwas teurer war (und ist) als der Rest; nicht nur, weil die Technik etwas zuverlässiger, der Support etwas kompetenter war (oder wirkte?), man war m.W. der einzige große und jedenfalls der letzte mir bekannte relevante Anbieter, der sich für den Kundensupport eine eigene Usenet-Hierarchie hielt: t-online.*, betreut von einem ausgesprochen kompetenten und überdurchschnittlich netzaffinen Team von Mitarbeitern, dem sagenumwobenen T-Online-Team. In mühevoller Kleinarbeit wurden neben den weithin bekannten Kommunikationskanälen (Hotline, T-Punkt, etc.) wichtige Informationen weitergegeben, FAQs zusammengestellt und nicht zuletzt auch Anfragen und Probleme von einzelnen Nutzern bearbeitet; dieses Wissen, notfalls einen kompetenten Ansprechpartner erreichen zu können, der auch wirklich erreichbar ist, der sich tatsächlich um mein Anliegen kümmert und entsprechende Rückmeldung gibt, war lange Jahre der ausschlaggebende Grund für mich, einen anderen Anbieter gar nicht erst in Betracht zu ziehen. Dazu kam die besondere Gabe, die Balance zu halten zwischen offizieller Kundenkommunikation und persönlichen Smalltalk im Netz, eine offensichtlich über Jahre und Jahrzehnte gewachsene Kenntnis der Materie und der Umgansgformen im Netz und ein wenn möglich augenzwinkernd-scherzhafter, wenn nötig aber auch knallharter Ton - sozusagen das Optimum des User-to-User-Supports, den man in Newsgroups und Foren erwartet, aber mit kompetenten Profis, die von “innen” kommen und vor allem auch Zugriff auf die notwendigen Daten und interne Kontakte zur Weitergabe der Anliegen an die richtigen Stellen haben.
Über die Jahre konnte man dann schon Änderungen spüren: Offenbar gab es Zugriff auf immer weniger interne Systeme, zunehmend konnten Fragen von Nutzern nicht direkt beantwortet, sondern diese nur noch an die Hotline verwiesen werden - aber immerhin mit konkreten Hinweisen, was man dem Mitarbeiter dort am besten sagen solle. Zunehmend hatte man auch den Eindruck, daß die Kontakte nach innen schlechter wurden, interne Weitergaben von Nutzeranliegen nicht mehr den unmittelbaren Erfolg aus früheren Zeiten nach sich zogen. Parallel wurden dann Supportforen im Web aufgebaut, die dasselbe Team betreute, die aber vom Handling selbst für ein Webforum erstaunlich schlecht nutzbar waren und die natürlichen nicht mehr den besonderen Geist der Newsgroups atmeten.
Ende 2009 dann der Paukenschlag: Die internen Newsgroups von T-Online werden zugunsten der Supportforen geschlossen. Ein harter Schlag, ein schwerer Abschied - wie sich herausstellte offenbar nicht nur für die verbliebenen Nutzer, denn vor allem die Mitarbeiter mussten offenbar gehen. Die vorletzte offizielle Verlautbarung möchte ich hier kurz dokumentieren:
Liebe Nutzerinnen und Nutzer der t-online.*-Newsgroups,
leider müssen wir Euch mitteilen, dass diese Newsgroups in Kürze
geschlossen werden. Der geplante Termin ist Montag, der 30.11.2009.
Selbstverständlich könnt Ihr auch weiterhin Fragen zu allen Themen
rund um die Internet-Dienste der Telekom stellen und Euch wie gewohnt
an regen Diskussionen mit unseren Moderatoren und anderen Usern
beteiligen. Hierzu bieten wir über das Hilfe-Portal der Telekom unsere
Service-Foren an. Diese sind auf der Seite <http://hilfe.telekom.de/>
unter > Kontakt > Service-Foren integriert und über den folgenden URL
direkt erreichbar:
<http://www.t-online.de/foren>
Der Hintergrund für diese Maßnahme ist, dass wir die qualitativ hoch-
wertigen Diskussionen und Hilfestellungen, die in den Newsgroups
einerseits und den Service-Foren andererseits stattfinden, zukünftig
nicht weiter zerstückeln und allen unseren Kunden zugänglich machen
wollen. - Außerdem möchten wir natürlich auch den Aufwand für die
doppelte Moderation reduzieren.
Der Newsserver der Telekom wird selbstverständlich weiter betrieben,
Ihr müsst also keine Änderungen an Eurem Newsreader vornehmen:
Alle anderen Newsgroups werden auch weiterhin bereitgestellt.
Für Eure persönliche Unterstützung in zahlreichen Diskussionen hier
in den Newsgroups, die in weiten Teilen sehr zur Verbesserung unserer
Produkte beigetragen haben, bedanken wir uns herzlich und würden uns
sehr freuen, dieses konstruktive Miteinander auch in den Service-Foren
gemeinsam fortzusetzen.
Vielen Dank für Euer Verständnis.
Herzliche Grüße
Euer T-Home-Team
(Hervorhebung von mir.)
Continue reading "T-Online verabschiedet sich vom Usenet"
Sunday, February 6. 2011
Seit diesem Wochenende steht jetzt - wie geplant und angekündigt - die aktuelle und brandneue Debian-Version 6.0 “Squeeze” zur Verfügung. Der Release-Prozess war in diesem Jahr nicht nur von einer Vielzahl von Release-Parties, sondern auch von einer fortlaufenden Berichterstattung via Twitter bzw. identi.ca begleitet.
Mein neuer Rechner läuft bekanntlich bereits unter Debian Squeeze; mit den Updates der bestehenden Server werde ich hingegen noch ein wenig warten, bis möglicherweise bestehende Probleme erkannt und behoben sind, Erfahrungen von anderen Updatern vorliegen, ich wieder über ein größeres Budget an freier Zeit verfüge und mal ein Wochenende für eventuell notwendig werdende Reparaturen zur Verfügung habe.
Doch Debian hat nicht nur released - man hat die Gelegenheit genutzt und auch direkt den Webseiten ein neues Gesicht gegeben, also den lange geplanten und vorbereiteten Relaunch pünktlich zum Release-Wochenende umgesetzt.
Monday, January 31. 2011
Mein DSL-Anbieter teilte gestern abend mit:
Aufgrund einiger Kundenanfragen wurden wir auf vereinzelte DSL-Einwahl-Probleme zu uns aufmerksam gemacht. Dies betraf allerdings nur einen kleinen Teil unserer DSL-Kunden (ca. 5%), so dass wir hier erst genauer analysieren mussten, da kein generelles Problem vorlag.
Laut derzeitigem Kenntnis- und Analysestand gab es im Laufe des gestrigen Abends und heutigen Tages eine Störung der Weiterleitung der DSL-Einwahl-Anfragen einiger (nicht aller) Kunden von der T-Com zu uns (was allerdings noch unbestätigt ist). Dies betraf jedoch nicht bestehende DSL-Sitzungen (sprich wenn Sie bereits eingewählt waren).
Ob Ihr Zugang betroffen war oder nicht, können wir leider technisch bedingt an dieser Stelle nicht zutreffend sagen, dieses Mailing erhalten Sie daher vorsorglich.
Doch, doch - das traf schon einen der Richtigen. Aber jetzt kann ich immerhin beruhigt festhalten, daß das Problem nicht bei der häuslichen Einwahltechnik lag - und das ganze Debugging für die Katz war.
Saturday, January 29. 2011
Dieser Tage stellte ich fest, daß mein Newsserver offensichtlich keine Steuernachrichten mehr ausführt. Aber warum bloß?
Die Rücknahme einiger jüngerer Änderungen - die sicherstellen sollten, daß die Steuernachrichten nicht nur ausgeführt, sondern mir auch gemailt werden (mit Dank an den Widder!) - brachte keine Lösung. Also bin ich zu systematischen Debugging übergegangen; dank fehlenden Loggings anhand des Einstreuens von Ausgabeanweisungen in eine Kopie des zuständigen Scripts (controlchan). Stunden später[tm] stellte sich dann als Ursache ... ein Bedienerfehler heraus (wie immer). Wenn man Steuernachrichten für eine bestimmte Hierarchie verwerfen will, dann sollte man den Namen der Hierarchie nicht nur als Kommentar in die control.ctl eintragen, sondern für den entsprechenden Eintrag auch ein Muster wie “hierarchie.*” verwenden. “*” alleine führt nicht zum erwünschten Ergebnis (sondern zum Verwerfen aller Steuernachrichten für alle Hierarchien). 
Friday, January 28. 2011
Als wir vor einigen Jahren unsere neue Wohnung bezogen haben, fiel mir die Sorge um den Telekommunikationsanschlussfragen zu. Damals an einem Wohnort die spurtstarke Leistung eines DSL-1000-Anschlusses gewohnt und am anderen immerhin mit DSL-2000 verwöhnt stellte sich zu meiner großen Freude heraus, daß am neuen Wohnsitz neben VDSL in allen Arten auch DSL-6000 und DSL-16000 verfügbar waren. Nachdem ich ein Freund des Verbleibs beim rosa Riesen bin, war ein passender Tarif schnell gebucht (die inbegriffene Festnetzflatrate, mit der ich selbst wenig anfangen kann, hat sich mittlerweile übrigens auch als segensreich erwiesen ... mehr sage ich dazu jetzt nicht  ), und nach einigen kleineren Schwierigkeiten *räusper* war dann auch technisch und organisatorisch alles im grünen Bereich. Einziges Manko: Die nach der Online-Verfügbarkeitsprüfung angeblich bereitstehende 16.000er-Anbindung konnte man nicht schalten - aber 6.000 ist ja immer noch mehr als 2.000.
So genossen wir - beide keine großen “Sauger” - die letzten Jahre das stabile Surfvergnügen, bis ich dieser Tage einmal im Rahmen der diversen Erledigungen auch einen Abstecher zum Kundencenter machte, um mir einen Überblick über die zur Verfügung stehenden neuen Tarife und anderen Optionen zu machen. Höchst erfreut konnte ich dabei dann feststellen, daß es mittlerweile möglich ist, ohne Tarifänderung und ohne Aufpreis die (im Tarif enthaltene, aber bei Einzug nicht zur Verfügung stehende) 16.000er-Leitung zu schalten. Das habe ich dann auch direkt beauftragt, eine Auftragsbestätigung für einen Schalttermin in einigen Wochen erhalten, die kurz darauf auch schriftlich bestätigt wurde ... und dann die Angelegenheit prompt wieder vergessen.
Bis mir heute morgen wieder einfiel, daß der Umschalttermin eigentlich schon um sein müßte. Und was soll ich sagen?
Wir sind jetzt im Geschwindigkeitsrausch.
|
Zu meiner Überraschung kamen immerhin rund 1.000 aktiv schreibende Nutzer des Newsservers von T-Online zusammen; das ist mehr, als ich erwartet hatte. Nach Abzug derjenigen, die weniger als 5 oder 6 Beiträge in den letzten Monaten veröffentlicht hatten, blieben knapp 900 Adressaten übrig, die ich dann mit einem kurzen informativen Text angemailt habe. Gut 100 von diesen E-Mail-Adressen waren unzustellbar. Von den verbleibenden rund 750 Adressaten haben immerhin rund 150 per E-Mail geantwortet (einige andere öffentlich); unter diesen Antworten war überraschenderweise nur eine Beschwerde über die Mailzusendung. Mehreren Dutzend der Antworten ließ sich entnehmen, dass der betreffende Nutzer zuvor nicht von der geplanten Abschaltung informiert war und/oder die E-Mail für einen verfrühten Aprilscherz hielt. Einigen Nachfragen konnte ich noch weitere Tips und Hinweise für den zukünftigen Newszugang mitgeben; einige teilten leider auch mit, das sei nun für sie der Anlaß, sich nach bereits stagnierender Nutzung nunmehr endgültig aus dem Usenet zu verabschieden. Die Mehrzahl scheint aber eine neue Heimat gefunden zu haben.
AND
Kommentare