Kurzer Nachtrag: v1.7.2-r2825 wurde eben bereitgestellt. Bei r2824 kam es bei manchen Servern während dem Upgrade zu einem Fehler (im LiveConfig-Log erschien dann die Meldung "LC.liveconfig.updateSysconfig() failed ...").
Wer bereits r2824 eingespielt hatte, sollte am besten das Update auf 2825 auch noch durchführen.
Beiträge von kk
-
-
Ab sofort steht LiveConfig v1.7.2 (r2824) zum Download bereit.
Neben einigen neuen Funktionen und Fehlerbeseitigungen wurde vor allem die in LiveConfig integrierte OpenSSL-Bibliothek von v1.0.1f auf v1.0.1g aktualisiert.
Hintergrund ist die am 07.04.2014 bekannt gewordene Sicherheitslücke in OpenSSL (CVE-2014-0160, derzeit unter dem Namen "Heartbleed" bekannt).Wir empfehlen daher allen Nutzern von LiveConfig, ihre Server schnellstmöglich zu aktualisieren.
Wenn Sie LiveConfig mit einem automatisch erstellten, selbst-signierten Zertifikat genutzt haben, löschen Sie dieses bitte (/etc/liveconfig/sslcert.pem) und starten LiveConfig anschließend neu - es erzeugt dann automatisch ein neues Zertifikat, welches Sie in Ihrem Browser erneut akzeptieren müssen.
Hintergrundinformation zu dem OpenSSL-Fehler:
Die entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).
Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!
Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist derzeit noch unklar.
Weitere Informationen zu dem Fehler finden Sie u.a. in einem Beitrag auf Heise Online:
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL -
Eine neue Version wurde bereits compiliert, läuft eben durch die letzten Tests und geht in den nächsten Minuten online. Alle Kunden werden zudem per Rundmail informiert.
-
Eine neue Version wurde bereits compiliert, läuft eben durch die letzten Tests und geht in den nächsten Minuten online. Alle Kunden werden zudem per Rundmail informiert.
-
Das ist nur eine Warnmeldung und keine Fehlermeldung; die Wildcard-Subdomain müsste ja soweit funktionieren, oder?
Dann können Sie die Warnmeldung auch getrost ignorieren. -
Welche Distribution genau verwenden Sie?
Was liefert der Befehl "apache2ctl -S -t" unmittelbar nach dem Neustart? -
Die unter /etc/apache2/sites-available/default erzeugte Konfiguration gilt immer für den Standard-vHost (also alle Fälle, wo kein anderer Name zutrifft).
Für Ihren Fall legen Sie einfach im LiveConfig in irgendeinem Vertrag die Domain "webvation.de" an, und darunter die Subdomain "*". Dieser können Sie dann Ihr Wildcard-SSL-Zertifikat zuweisen.
Viele Grüße
-Klaus Keppler
-
mod_geoip kann man nicht in LiveConfig einbinden
weil LiveConfig nichts mit PHP oder PHP-Modulen zu tun hat.Installation von mod_geoip erfolgt so wie es auf der jeweiligen Distribution üblich ist (unter Debian z.B. "aptitude install php5-geoip"). Ggf. Apache danach neu starten (damit alle FastCGI-Prozesse und/oder mod_php-Instanzen das neue Modul "sehen").
-
Ein neue Preview-Version steht bereit (v1.7.2-r2791):
- unter Einstellungen -> E-Mail-Vorlagen können nun verschiedene E-Mail-Vorlagen bearbeitet werden. Ab sofort kann dort bereits der Text zum Zurücksetzen des LiveConfig-Passworts bearbeitet werden, weitere Texte (z.B. Versand der Zugangsdaten etc.) folgen in Kürze.
Viele Grüße
-Klaus Keppler
-
Geben Sie in das Feld "Absenderadresse" (bei der Box "E-Mail-Einstellungen") einfach eine gültige Mailadresse ein.
(derzeit werden alle Eingaben in diesem Formular - also sowohl das Logo als auch alle anderen Einstellungen - gleichzeitig geprüft und gespeichert) -
Welche LiveConfig-Version hatten Sie denn im Einsatz, als LC beim Backup abgestützt ist?
Mit der aktuellen Version (v1.7.1-r2775 vom 10.03.2014) wurde ein Fehler in diesem Zusammenhang behoben. -
LiveConfig unterstützt auch mpm_itk. Installieren Sie einfach das mpm_itk-Modul für Apache und konfigurieren die Webspaces mit mod_php.
Das Sicherheitsmodell von suPHP erlaubt definitiv keine "gemeinsamen" Verzeichnisse; mit FastCGi sollte das aber im Prinzip schon klappen. Achten Sie ggf. darauf, dass das gemeinsame Verzeichnis im open_basedir auch freigegeben ist. -
Ab sofort steht die erste Preview für v1.7.2 (r2781) zum Download bereit. Die neuen Funktionen sind:
- Anzeige des Traffics der letzten 24 Stunden im "Top 10"-Bericht
- Vertrag neu zuordnen: ein Vertrag kann nun auch einem Wiederverkäufer übereignet werden (Beispiel: admin hatte den Vertrag "web1" bisher selbst einem Kunden zugeordnet. Dieser Kunde erhält nun einen Resellervertrag (res1) - dann kann ab sofort der Vertrag "web1" diesem Kunden übertragen und in dessen res1-Vertrag verschoben werden).
Die Übersetzungen sind in r2781 noch nicht mit drin, außerdem soll es noch die Möglichkeit geben, Verträge zwischen verschiedenen Resellerverträgen verschieben zu können. - Bugfix: Fehler in der Anzahl der IP-Adressen (bei der Serverübersicht, Business-Lizenz) beseitigt; hier wurden auch inaktive (früher mal irgendwann erkannte) IPs mitgezählt
Viele Grüße
-Klaus Keppler
-
Äh, stimmt... :-/ Hatte das auf die Schnelle verwechselt.
Beide Features sind aber gerade in Arbeit und voraussichtlich ab nächster Woche verfügbar. -
kk: evntl. einen entsprechenden Hinweis ins Handbuch aufnehmen ... mir kam es jetzt schon öfter unter, der Server in dem Schema ("example.com" statt "server.example.com" o.ä.) benannt wurden.
http://www.liveconfig.com/de/h…/server.requirements.html => "Gültiger Hostname und Reverse DNS".
Da das trotzdem recht häufig vorkommt werden wir das wohl mal noch irgendwie hervorheben, oder evtl. im LC-GUI eine Warnung ausgeben wenn man eine Domain hinzufügen will die den selben Namen trägt wie der Hostname. -
Weil sich die Antwort aus dem Changelog von selbst ergibt - notfalls aus dem Issue Tracker.
-
Eben wurde ein kleineres Update (v1.7.1-r2775) online gestellt. Damit werden zwei Probleme beseitigt:
- der Autodiscover-Service arbeitet nun zuverlässiger (bei Outlook 2007/2010 und evtl. 2013 gab es je nach Konfiguration Probleme, obwohl der Exchange-Connectivity-Test keine Fehler meldete)
Grundsätzlich sollte bei Bereitstellung von Autodiscover auch SMTP+SSL (Port 465) sowie POP3S/IMAPS (Port 993/995) aktiviert werden, dann gibt's erfahrungsgemäß die wenigsten Probleme. - in der Berechnung der SHA1-Prüfsumme für Backup-Downloads gab es unter bestimmten Umständen einen Pufferüberlauf, der zum Absturz von LiveConfig führen konnte (nicht sicherheitskritisch, da der betroffene Codeabschnitt ohnehin nur mit Benutzerrechten ausgeführt wurde - aber dennoch lästig).
Das Update ist je nach Einsatzzweck also nicht kritisch, sollte aber bei Gelegenheit durchgeführt werden.
Vielen Dank an dieser Stelle an die Techniker von iWelt, die mittels TCP-Dump bei der Lokalisierung der Autodiscover-Probleme weiterhelfen konnten.Viele Grüße
-Klaus Keppler
- der Autodiscover-Service arbeitet nun zuverlässiger (bei Outlook 2007/2010 und evtl. 2013 gab es je nach Konfiguration Probleme, obwohl der Exchange-Connectivity-Test keine Fehler meldete)
-
Langsam kann man das ganze LiveConfixx nennen. Updates gibt es zwar noch, aber am Kunden vorbei
DoRob: wissen Sie was wahnsinnig viel unnötige Energie kostet? Sich mit hartnäckigen Betrugsfällen herumärgern zu müssen.
Ihr Foren-Account ist ab sofort gesperrt. Ich denke, Sie wissen warum. -
Kleiner Nachtrag, wenn ich im Init Skript /etc/init.d/nginx-php-fcgi in der restart Sektion ein "sleep 1" einfüge, klappt es mit dem Restart.
Wenn Sie kurz Zeit haben könnten Sie evtl. mal dieses Start-Script ausprobieren:
http://download.liveconfig.com/tmp/nginx-php-fcgi
Das wurde so umgeschrieben, dass es beim "restart" der Reihe nach jeden PHP-FCGI-Prozess beendet und neu startet (statt alle Prozesse zu beenden und dann alle zu starten). Zudem wird der killall-Befehl mit "-w" aufgerufen, so dass er wartet bis der gewünschte Prozess tatsächlich beendet wurde.
(so ganz überzeugt bin ich von dem "-w"-Switch aber nicht wirklich; eventuell werden wir das tatsächlich durch ein "sleep 1" ersetzen)Viele Grüße
-Klaus Keppler
-
Mit Anzeige, wann eine Mail warum angenommen oder abgelehnt wurde?
Nein, so etwas steht bislang selbst bei uns nur auf der Wunschliste.
Das Tool wäre prinzipiell dazu in der Lage, da es alle Mail-Sessions verfolgt. Es wären da aber noch viele Detail-Fragen offen (Information-Leakage wenn eine Mail an verschiedene Empfänger geht; Performance bei großen Mail-Mengen (Speicherung der Detailsdaten in der DB? Wenn ja, wie lange? RRD? Datenschutz? usw...).Spontane Idee: optional könnte man auf dem Mailserver eine MySQL-DB aufsetzen, an die das Log-Tool dann alle Auswertungen meldet; via LC-GUI könnten dann Auswertungen auf diese DB gefahren werden. Hätte (meiner Meinung nach) die geringsten Auswirkungen auf die Performance und würde vielfältigste Möglichkeiten bieten.
