PHP mail() anfällig für SMTP-Injection

In der letzten Woche gab es verstärkt Angriffe gegen Formmail-Skripte. Die erste Welle gegen einen meiner Server nutze einen Fehler in einem Perl Skript eines Kunden aus. Die zweite Welle wurde erstaunlicherweise gegen PHP-Skripte gefahren, die nach bisherigen Erkenntnissen eigentlich nicht angreifbar waren. Eine Analyse des Angriffs offenbarte eine Schwäche in der PHP mail() Funktion, die sich ausnutzen läßt, wenn man dem Parameter additional_headers ungeprüftes Userinput übergibt. Es ist dann möglich den Mail-Header enden zu lassen und einen eigenen Text in den Body (und auch zusätzliche Cc und Bcc Empfänger) einzufügen. Die Attacke ist unter dem Link mail_with_checks Funktion näher beschrieben. Desweiteren gibt es dort auch eine Abhilfe.

Palm mit Debian syncen

Eigentlich bin ich meine Zettelwirtschaft schon länger leid, heute will ich aber das Problem mal angehen und versuchen meinen Palm vernünftig mit meinem Laptop zu synchronisieren. Eigentlich läuft auf dem Laptop auch Windows, aber mit Linux arbeite ich mehr und da wäre ein Sync schicker. Also Google angeworfen und erstmal die Pakete für KDE installiert, die man anscheinend zum Syncen braucht:
apt-get install kpilot korganizer knotes kaddressbook pilot-link
Ich mußte bei Debian noch sicherstellen, das ich zur Gruppe dialout gehöre, da die Devices /dev/ttyUSB* diese Gruppe zum Lesen- / Schreiben brauchen. Als erstes habe ich KPilot gestarted und habe ihn den Palm suchen lassen. Er hat ihn bei mir auf /dev/ttyUSB2 gefunden, obwohl nur die Devices /dev/ttyUSB0 und /dev/ttyUSB1 vorhanden sind. Keine Ahnung warum. Der erste HotSync dauerte dann auch sehr lange, ein wiederholter dauert immer noch etwas, aber nicht so lange wie der komplette. Ein Schnellabgleich ist eigentlich immer ganz fix bei der Sache. Was mich positiv überrascht hat ist die AvantGo Unterstützung durch einen Conduit. So kann ich auch unter Linux meine Channel synchronisieren. Die Programme im einzelnen:

  • KPilot stellt die Funktionalität für den HotSync bereit, es kann auch die Aufgaben, Adressen und Notizen anzeigen, editieren ist aber nicht möglich.
  • KOrganizer ist die Kalender-Applikation von KDE und stellt neben den Terminen auch die Aufgabenliste dar. Die Synchronisation funktioniert gut, die Anwendung muß aber während dem HotSync laufen (das Erinnerungsmodul reicht aber wohl).
  • KAddressbook verwaltet die Adressen. Look & Feel ist eigentlich wie beim Palm Desktop für Windows.

Fazit: Die Ausstattung gefällt mir sehr gut, einziges Manko ist, das ich keine Notizen im KDE-Desktop eingeben kann. Evtl. läßt sich das aber über die Notiz Import-/Export-Funktion von KPilot regeln, das muß ich mal testen.
Weiterführende Links:

Blog mit neuer Software online

Heute habe ich mein Blog auf WordPress umgestellt. Das alte Blog wird so wie es ist als Archiv online bleiben, da es mir zuviel Arbeit ist alle Einträge zu migrieren. Bei der Verwendung von WordPress ist die Deutsche Sprachdatei und ein eingedeutschtes Theme Pflicht. Sehr schön sind auch die sogenannten Permalinks, mit denen man via mod_rewrite unter Apache schön lesbare und suchmaschinenfreundliche URLs bekommt. Mit den einzelnen Features der Software muß ich mich noch vertraut machen, schön ist auf jeden Fall mal das ich die alten, in HTML formatierten Beiträge, problemlos übernehmen konnte.