Beiträge von Daniel Bradler

Es geht wie folgt:

echo 1 > /var/qmail/control/no_sslv2v3
echo 1 > /var/qmail/control/no_tlsv1
echo 1 > /var/qmail/control/no_tlsv11

Ich bin da leider kein Experte. Zu dem Thema kann ich nur sagen, dass einige unserer Kunden Gunicorn (https://gunicorn.org/) als Dienst in Zusammenspiel mit der HTTP-Proxy-Funktion von pd-admin verwenden.

Wir haben eine neue Version der Update-Routine veroeffentlicht. Bitte testen Sie, ob das Problem damit noch auftritt.

Zitat von tbc233

In allen Fällen war es der AVAST Virenscanner

Das Problem tritt bei uns seit einiger Zeit auch häufiger auf. Es gibt inzwischen eine Beta-Version, die den Fehler behebt:

https://forum.avast.com/index.php?topic=320722.0
Eine stabile Version soll in der kommenden Woche folgen.

Ursaechlich ist vermutlich die in pd-admin v4.96 eingefuehrte Anzeige des belegten Speicherplatzes im Endkunden-Dashboard. Das Problem wurde mit v4.07 behoben.

Nach "in BL zen.spamhaus.org" sollte eigentlich abgebrochen werden. Das ist aber nicht (immer) der Fall. Wir korrigieren den Fehler in der kommenden Version.

Sie Session ist an eine IP-Adresse gebunden. Aendert sich die vielleicht im Lauf der Sitzung?

Es kann der Hostname einer Blacklist hinterlegt werden. Die Konfiguration mehrerer Listen ist bislang nicht umgesetzt.

Das Skript mysql_privileges.pl war noch nicht fuer MySQL 8 angepasst. Jetzt sollte es passen. Ich konnte es allerding noch nicht testen.

Zitat von WebTeufel

ist A+ auch mit letsencrypt Zertifikaten möglich?

Ja, das ist moeglich, z.B. mit:

SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Zusaetzlich muss HSTS aktiviert werden.

https://httpd.apache.org/security/vulnerabilities_24.html:

"A crafted URI sent to httpd configured as a forward proxy (ProxyRequests on) can cause a crash (NULL pointer dereference) or, for configurations mixing forward and reverse proxy declarations, can allow for requests to be directed to a declared Unix Domain Socket endpoint (Server Side Request Forgery)."

CVE-2021-44224 duerfte pd-admin daher nicht betreffen. Wir sehen es uns aber noch genauer an.

Neben Elasticsearch ist bei unseren Kunden auch SOLR recht beliebt.

pd-admin selbst verwendet aber, wie schon ausgefuehrt, kein Java und ist von dem Problem daher nicht betroffen.

Die Frage ist eher, warum es das Feld auf dem Quellserver gibt. Durch pd-admin wurde es nicht angelegt.

Die Funktion befindet sich noch in der Entwicklung. Daher sind Aenderungen moeglich, die eine Kompatiblitaet zwischen den Versionen verhindern. Mittelfristig wird die Schnittstelle sicherlich stabiler. Ich sehe aber auch aktuell keinen Grund, der ein Update von pd-admin verhindern wuerde.

Zur Fehlerursache: Es gibt auf dem Quellserver anscheinend ein Datenbankfeld account_locked, das auf dem Zielserver nicht existiert. Daher scheitert der Import.

Zitat von WebTeufel

versionen von quell und ziel server waren unterschiedlich

quelle zu viel:

v4.85 zu 4,88

pd-admin sollte auf beiden Servern auf dem neuesten Stand sein, sonst sind Probleme zu erwarten.

Dieses Skript sollte helfen:

#!/bin/bash
mv /usr/local/pd-admin2/lib/libargon2.so.1 /usr/local/pd-admin2/lib/libargon2.so.1~
cp -a /usr/local/pd-admin2.2021-10-1[23]*/lib/libargon2.so.1 /usr/local/pd-admin2/lib/libargon2.so.1
svc -d /service/FPM-*
sleep 1;
svc -u /service/FPM-*

Als Workaround reicht es, libargon2.so.1 aus SE 0.389 zu uebernehmen. Eine Sicherung finden Sie unter /usr/local/pd-admin2.$TIMESTAMP

Wir koennen den Fehler bestaetigen. Aktuell hilft leider nur ein Downgrade der Serverumgebung auf 0.389.

Nach etwas mehr als einem Jahr moechte ich gerne Bilanz ziehen. Umgesetzt wurden die folgenden hier genannten Wuensche:

• Kundenmigration
• Verbessertes Update von Reihe 4 auf neuere Reihen (http://download.pd-admin.de/mysql_upgrade.sh)
• Probleme bei der Installation behoben
• Let's Encrypt-Zertifikate auch fuer die Serverdienste
• Automatische Mail-Konfiguration fuer Thunderbird

Offen ist noch die IPv6-Unterstuetzung, die voraussichtlich in 2022 folgen wird.

Ich wuerde mit strace untersuchen, wo es genau haengt.