GHOST: glibc Schwachstelle gepatcht (CVE-2015-0235)

GHOST Glibc CVE-2015-0235

Die gestern Abend bekanntgewordene Sicherheitslücke CVE-2015-0235 wurde von der französischen Sicherheitsfirma Qualys entdeckt und wird als “kritisch” eingestuft.

In bestimmten Situationen reicht es aus eine präparierte eMail an ein verwundbares System zu senden um dieses zu übernehmen, die zur Verfügung stehenden Sicherheitsupdates sollten daher sofort eingespielt werden.

CloudLinux und CentOS, die Basis unserer Server lassen sich mit folgenden Befehlen auf den neusten Stand bringen:

yum clean all && yum update glibc -y

CVE-2015-0235 wurde bereits auf allen rack::SPEED Systemen gepatcht!

Detailierte technische Informationen gibt es wie immer auf heise.de.

(Bild: jbruce, OpenClipart)


Kein Ausblick auf die kommenden Features?

Wer uns etwas länger kennt, weiß das wir normalerweise in den ersten 2 Wochen nach Sylvester unseren Plan für das neue Jahr vorstellen. Dieses Jahr müssen wir den Ausblick in die ersten beiden Februar Wochen verschieben, wir versichern euch das wir gute Gründe haben. ;)

Bereits seit einigen Wochen arbeiten wir an mehreren eigenen und sehr spannenden Kunden-Projekten gleichzeitig, wozu unter Anderem unsere neuen jederzeit skalierbaren Cluster Lösungen gehören.

Da ein Kunde kurzfristig sehr viel Leistung benötigte, nutzt dieser bereits jetzt einige Funktionen des neuen Setups zur Abwicklung seines derzeitigen Saison-Geschäfts. Die ersten Zahlen liegen uns nun vor:

Magento Cluster 1458 gleichzeitige Besucher1458 gleichzeitige Besucher, das Balkendiagramm zeigt die Checkouts pro Minute

Derzeit besteht das System aus 2 Cloud Servern (Web und MySQL), dem Level3-CDN, einem Varnish Cache und Redis. Verarbeitet werden täglich über 60.000 Besucher die zusammen über 1.200.000 Seitenaufrufe (PIs) erzeugen und ca. 3.500 Warenkörbe auschecken. – Die Seitenladezeit für das HTML Grundgerüst liegt durchgehend unter 200ms.

Magento Cluster Ladezeit

In den nächsten Tagen wird das Setup mit einem Loadbalancer Pärchen und weitere Webserver nach und nach weiter ausgebaut. Updates, auch was den Jahresplan 2015 angeht, folgen in Kürze.

In der Zwischenzeit freuen wir uns über eure “Last-Minute-Wünsche” für unseren Jahresplan, etwas Luft für kleinerer Projekte haben wir noch… :)


rack::SPEED wünscht Ihnen einen guten Rutsch!

Das Jahr 2014 neigt sich dem Ende, daher möchten wir uns für die gute Zusammenarbeit und das entgegengebrachte Vertrauen bei Ihnen bedanken. Auch in 2015 warten viele spannende Projekte auf uns, es lohnt sich daher unseren Blog zu beobachten. – Wie jedes Jahr werden wir im Januar einen groben Überblick unserer Projekte geben. :)

Wir wünschen Ihnen einen guten Rutsch ins Jahr 2015!


rackSPEED ist offizieller MagentoDE Partner!

MagentoDE Banner

Lange hat es gedauert aber nun sind wir endlich MagentoDE Partner!

Ab sofort habt ihr die Möglichkeit die für den deutschen Markt vorkonfigurierte MagentoDE Version mit Hilfe des 1-Klick Installers zu installieren.

Im Gegensatz zur “normalen” Magento-Version startet nach dem ersten Login als Admin ein weiterer Assistent, der euch durch die Einrichtung der für den deutschen Markt benötigten Module führt. Ist dieser Prozess abgeschlossen fehlen nur noch die ersten Artikel bevor Ihr den Verkauf starten könnt. – Der umfangreiche und nicht ganz einfache Anpassungsprozess des Shopsystems an die deutschen Gesetze entfällt durch die Nutzung von MagentoDE vollständig!

Die Highlights von MagentoDE auf einen Blick:

  • komplettes Magento CE vorkonfiguriert für den deutschen Markt
  • inklusive wichtiger Extensions für die Anwendung in Deutschland
  • mit deutschem Sprachpaket
  • PDF Rechnungen, Grundpreisangabe, Anzeige von Versandkosten
  • integrierte Zahlungsarten: Nachnahme, Bankeinzug, Rechnung, PayPal
  • einfache Anbindung an eBay und andere Marktplätze möglich
  • mit der Magento Community entwickelt
  • Trusted Shops vorzertifiziert

Natürlich könnt ihr MagentoDE ab sofort in unserem Testaccount ausprobieren bevor ihr unser Magento Hosting bestellt.

Die Arbeiten zur Implementierung von MagentoAT und MagentoCH laufen bereits auf Hochtouren. ;)


Relaunch 2014 – das neue Gesicht von rack::SPEED

Die Sommerpause haben wir intensiv genutzt um rackspeed.de gründlich aufzuräumen und neue Angebote für euch zu erarbeiten.

Stolz möchte ich heute die ersten Ergebnisse präsentieren, beginnen werde ich natürlich mit unserer neuen Website: Responsive Flat-Design und neueste Technik basierend auf HTML5 und CSS3 treiben ab sofort rackspeed.de an! Besonderes Augenmerk haben wir auf die Präsentation der Angebote und zusätzlichen Platz für Informationen und neue Angebote gelegt.

Unser besonderer Dank geht an dieser Stelle an “Julius” von der Agentur sollen&sein, wir freuen uns sehr über das gelungene Ergebnis und die Zusammenarbeit!

Natürlich haben wir auch bei der Tarifneugestaltung eure Anregungen mit einfließen lassen. Das Resultat ist eine großartige Hosting-Plattform mit ganz neuen SSD StartUp-Tarifen (ab 9,99€) und einer beachtlichen Leistungssteigerung (bis 1024 MB memory_limit) der bereits bekannten SSD Business Tarife.

Der bereits durch unser SSD-Hosting bekannte +100% Saison-Turbo steht natürlich auch in den StartUp Tarifen zur Verfügung. – Doppelte Leistung für einen Monat auf Kopfdruck, kein Serverumzug, kein Ausfall, kein Umzugs-Stress in der heißen Phase!

PHP steht in den Versionen 5.2, 5.3, 5.4 und 5.5 zur Verfügung, als besonderes Highlight könnt ihr aus über 90+ PHP-Extensions im cPanel selber auswählen. Ein Wechsel von APC zu Opcache oder das aktivieren anderer Extensions ist somit nur noch einen Klick weit entfernt.

Abgerundet wird das Ganze durch lange Scriptlaufzeiten (auch in den StartUp Tarifen), großzügig bemessenem PHP-Speicher, 100% Ökostrom aus Wasserkraft und eine aktuelle MySQL 5.5 Instanz.

Zur Feier des Tages haben wir einen besonderen PromoCode für euch! Mit RELAUNCH2014 erhaltet Ihr einen “lebenslangen” 10% Rabatt der auch bei späteren Tarifwechseln erhalten bleibt!


CVE-2014-6217 und CVE-2014-7169 auf allen rack::SPEED Servern gepatcht!

Die am Mittwoch Abend veröffentlichte Sicherheitslücke CVE-2014-6217 (Shellshock) wurde bereits in der Nacht zu Donnerstag auf allen Servern gepatcht.

Wie sich einen Tag später herausstellte war der Patch allerdings nicht vollständig. Durch eine kleine Anpassung des Angriffs konnte die Sicherheitslücke wieder ausgenutzt werden was einen weiteren Patch zur Folge hatte. Dieser wurde heute Morgen bereitgestellt und sofort von uns eingespielt. Das dazugehörige CVE-2014-7169 wurde auf den Namen Aftershock getauft.

CVE-2014-6217 (Shellshock) und CVE-2014-7169 (Aftershock) wurden auf allen Servern gepatcht.

Technische Informationen zur Sicherheitslücke gibt es unter anderem auf heise.de


Magento Datenbank Optimierung – Teil 3

Im ersten und zweiten Teil der Reihe „Magento Datenbank Optimierung“ haben wir uns die Log-Funktionen genauer angesehen. Dieses Mal wollen wir die Datenbank von allen unnötigen Einträgen befreien.

Als direkte Auswirkung der Optimierung sehen wir mehr freien Speicherplatz auf der Festplatte und einen reduzierten Bedarf an Arbeitsspeicher.

Das Problem der großen Tabellen

Eine optimale MySQL-Konfiguration sieht vor möglichst viele Abfragen aus dem sehr schnellen Arbeitsspeicher zu bearbeiten. Große Tabellen verhindern dies und zwingen den MySQL-Server temporäre Tabellen auf der vergleichsweisem „langsamen“ Festplatte abzulegen.

Besonders gut bemerkbar macht sich dieser Performanceverlust bei der core_session Tabelle wenn diese, aufgrund vieler Besucher und / oder falsch eingestellter Session Lebensdauer, sehr groß geworden ist. Die Tabelle wird bei jedem Seitenaufruf nach alten Sessions gescannt, kann der Server diese nicht aus dem Arbeitsspeicher bedienen muss auf die „langsame“ Festplatte zurückgegriffen werden. Die Abfragedauer steigt dadurch von wenigen Millisekunden auf mehrere Sekunden was die Auslieferung der Website ebenfalls um diese Zeit verzögert. – Die Seitenladezeit des Magento Shops steigt (meistens) ohne erkennbare Anzeichen wie steigende Besucherzahlen oder CPU-Auslastung immens an.

Die Leerung der Session-Tabelle ist im Query nicht berücksichtigt da dies die Warenkörbe der Besucher leeren würde, dennoch empfehlen wir die Tabelle ab einer Größe von 50 – 100 MB zu leeren.

Unnötigen Ballast entfernen

Backup nicht vergessen! :)

Die folgenden Tabellen können und sollten regelmäßig geleert (nicht gelöscht!!!) werden damit die Performance Eures Magento Shops nicht negativ beeinträchtig wird: aw_core_logger, catalog_compare_item, catalogindex_aggregation, catalogindex_aggregation_tag, catalogindex_aggregation_to_tag, dataflow_batch_export, dataflow_batch_import, index_event, log_customer, log_quote, log_summary, log_summary_type, log_url, log_url_info, log_visitor, log_visitor_info, log_visitor_online, report_event, report_viewed_product_index, report_compared_product_index’.

Markiert dazu in phpMyAdmin die o.g. Tabellen und wählt anschließend unten im Dropdown den Befehl „Leeren“ aus.

cpanel-phpmyadmin-truncate

Alternativ könnt ihr folgendes Query direkt auf der MySQL-CLI oder mit Hilfe von phpMyAdmin über den Reiter „SQL“ abfeuern. – Achtet unbedingt auf die richtige Datenbank Auswahl und die korrekten Tabellennamen im SQL-Query!

TRUNCATE 'aw_core_logger';
TRUNCATE 'catalog_compare_item';
TRUNCATE 'catalogindex_aggregation';
TRUNCATE 'catalogindex_aggregation_tag';
TRUNCATE 'catalogindex_aggregation_to_tag';
TRUNCATE 'dataflow_batch_export';
TRUNCATE 'dataflow_batch_import';
TRUNCATE 'index_event';
TRUNCATE 'log_customer';
TRUNCATE 'log_quote';
TRUNCATE 'log_summary';
TRUNCATE 'log_summary_type';
TRUNCATE 'log_url';
TRUNCATE 'log_url_info';
TRUNCATE 'log_visitor';
TRUNCATE 'log_visitor_info';
TRUNCATE 'log_visitor_online';
TRUNCATE 'report_event';
TRUNCATE 'report_viewed_product_index';
TRUNCATE 'report_compared_product_index';

Die SQL-Befehle entfernen nicht mehr benötigte Daten aus den Tabellen und sorgen somit für eine rasante Ladezeit. Andere Prozesse, wie die Erstellung eines Backups, werden durch die kleinere Datenbank ebenfalls positiv beeinflusst, so verbrauchen die meisten Vorgänge wesentlich weniger Zeit und Ressourcen (Stichwort: Timeout). :)


Neuausstellung der SSL-Zertifikate nach Heartbleed-Bug

Bereits am Dienstag haben wir über den gravierenden OpenSSL-Bug namens „Heartbleed” berichtet und entsprechende Gegenmaßnahmen eingeleitet.

Eine akute Gefahr des Passwort- oder Schlüsseldiebstahls besteht daher seit Dienstag nicht mehr!

Dennoch bleibt ein gewisses Restrisiko was die verwendeten Passwörter und SSL-Zertifikate angeht, da keinerlei Möglichkeit besteht einen evtl. erfolgten Angriff nachzuvollziehen. Auf heise.de findet Ihr eine genaue Erklärung wie der Angriff funktioniert.

Wie geht es nun weiter?

Da die evtl. ausgelesenen Informationen im Zusammenhang mit Sicherheitsfunktionen des Servers stehen, empfehlen wir Euch dringend alle Passwörter zu ändern. Nicht nur bei uns sondern bei eigentlich allen Onlinediensten die Ihr nutzt. – Wir haben in den letzten Tagen bereits mehrfach die Passwörter unserer Server geändert, sicher ist sicher. :)

Was wir noch getan haben?

Darüber hinaus haben wir direkt nach Bekanntwerden der Auswirkungen alle von uns genutzten SSL-Zertifikate (Kundencenter, cPanel, Mail- und FTP-Server) neu generiert (reissue) und auf allen Servern eingebunden. Die zuvor genutzten Zertifikate werden kurzfristig zurückgezogen (revoke). – Damit könnt Ihr der Kommunikation mit unseren Servern und Diensten wieder zu 100% vertrauen, ein evtl. abgegriffener privater Schüssel unserer SSL-Zertifikate ist damit nutzlos geworden. :)

Was Ihr noch tun könnt:

Auch wenn ein Missbrauch evtl. abgegriffener Schlüssel äußerst unwahrscheinlich ist, wird ein Austausch der SSL-Zertifikate von verschiedensten Stellen u.a. dem BSI empfohlen. Wir bieten unseren Kunden daher die kostenlose Neuausstellung der über uns bezogenen Zertifikate an.

Da uns eine solche Aktion, neben dem normalen Tagesgeschäft, vor eine kleine Herausforderung stellt, bitten wir Euch den folgenden Punkteplan zu beachten:

  1. Öffnet ein Support-Ticket im SSL-Zertifikate Bereich mit der / den Domains für die Ihr neue Zertifikate benötigt.  (Login erforderlich!)
  2. Ihr erhaltet kurzfristig weitere Anweisungen zum Ablauf und einen Link mit dessen Hilfe Ihr die Neuausstellung des SSL-Zertifikates (reissue) starten könnt.
  3. Sobald das Zertifikat von der Vergabestelle neu ausgestellt wurde erhalten wir dieses zur Installation auf dem Server.
  4. Unser Support-Team installiert das neue Zertifikat und informiert Euch über den Erfolg.
  5. Ihr könnt nun das alte Zertifikat über den in Punkt 2 erhaltenen Link zurückziehen (revoke).

Wir bemühen uns alle Anfragen zeitnah zu beantworten. Bitten allerdings schon jetzt um euer Verständnis, dass die Bearbeitung einige Tage in Anspruch nehmen wird.

Muss ich mein Zertifikat neu ausstellen lassen?

Nein, nicht zwangsläufig da durch Einsatz der sicheren OpenSSL-Version ein Abgreifen der Informationen zuverlässig verhindert wird! Wird das Zertifikat nicht erneuert, besteht die „Gefahr“ eines „Man-in-the-Middle“ Angriffs bei dem mitgeschnittener Datenverkehr entschlüsselt werden kann. Dies ist allerdings nicht ohne Weiteres möglich. – Nebenbei bemerkt haben einige Banken und große Konzerne heute noch nicht einmal die Lücken gepatcht, geschweige denn die Zertifikate erneuert. ;)


CVE-2014-0160 (Heartbleed) auf allen rack::SPEED Servern gepatcht!

Die heute bekannt gewordene OpenSSL Sicherheitslücke „Heartbleed“ (CVE-2014-0160) wurde auf allen rack::SPEED Servern gepatcht. Das Problem betrifft nicht nur unsere Server, es ist sehr weit verbreitet und betrifft weltweit verschiedenste Computer- / Betriebssysteme.

Eine ausführliche Beschreibung der Sicherheitslücke und der möglichen Auswirkungen findet Ihr auf heise.de.

Die vom OpenSSL-Team bereitgestellten Updates wurden ohne Auswirkungen auf die Server und deren Betrieb eingespielt. Dennoch mussten alle gegen OpenSSL gelinkten Dienste neugestartet werden um das Sicherheitsupdate sofort zu „aktivieren“. Aufgrund der Neustarts der betroffenen Dienste (Apache, SSH, cPanel, Mail, usw) gab es ganz kurze Serviceunterbrechungen.

Wir bitten evtl. beobachtete kurze Aussetzer zu entschuldigen. Unter Berücksichtigung der Auswirkungen haben wir uns für Dienstneustarts am Tag, und nicht wie sonst üblich in der Nacht, entschieden.