Michael Friedrichs

Einen Tag vor Heiligabend haben die Entwickler von Teamspeak (dürfte jedem Gamer ein Begriff sein) eine neue Beta-Release ihrer Software ins Netz gestellt. Laut Homepage wird mit der aktuellen Beta 6 (Server-Version) eine kritische Sicherheitslücke geschlossen. Ein Update wird deshalb dringend empfohlen.

Zugegeben, ich nutze noch die Vorgängerversion (2.0) von Teamspeak, weil ich mit Beta so meine Erfahrungen gemacht hab und deshalb in der Regel warte, bis das final Release verfügbar ist. Wenn ich die Features von Version 3 allerdings so überfliege, komme ich echt ins grübeln, ob ich hier mal eine Ausnahme mache und mir die Beta auf dem Rechner installiere.

• Windows Support (32-Bit und 64-Bit)
• Linux Support (32-Bit und 64-Bit)
• Macintosh Support (Intel und PPC)
• komplett neue SDK basierte Architektur zur Integration in bestehende Produkte (z.B. Games)
• Voll integrierter 3D Sound Support für jeden Client und das SDK
• Ein neues Lizenzsystem für kommerzielle Angebote und autorisierte TeamSpeak Host Providers (ATHPs)
• Neu designtes Datenbank Modul für komplexe SQLlite und mySQL Lösungen
• Neue voll anpassbare Benutzergruppen mit mächtigen, einstellbaren Benutzerrechten
• Neues TCP Query Modul mit neuen Fähigkeiten
• Neues PHP basiertes Administration- Frontend mit voller Kontrolle über alle Server
• Neues Modul für die Tastenbelegung bei Joysticks, Mäusen und anderer Hardware
• Ein neuer Bookmark Manager der es dem Benutzer erlaubt, seine Favoriten ähnlich wie bei einem Webbrowser abzuspeichern
• Neue Speex und GSM Codecs, die eine dramatisch verbesserte Sprachqualität ermöglichen
• Verbesserte Latenz- und Reaktionszeiten, was die Verzögerung zwischen Sprecher und Zuhörer verringert
• Es können eigene Soundpacks (Player left usw.) erstellt werden
• Es wird eine Surround-Sound 5.1 Funktion geben, die es ermöglicht, mehrere Gesprächspartner audiovisuell an verschiedenen Orten (im Ohr) wahrzunehmen
• Wird es auch für FreeBSD Systeme geben
• Mit Key Bindings können Funktionstasten belegt werden z.B. könnte die F5 Taste das Mirofon muten
• Komplett überarbeitetes Usermanagement. Es wird ein globales Login für alle TS3 Server geben. D.h. jeder User hat nur einen Usernamen und ein Passwort für alle Server

Netzpolitik hat wieder einmal ein Datenleck entdeckt. Dieses Mal aber nicht beim Online-Händler Libri, bei der Sparkasse oder bei SchülerVZ, sondern im Fanshop des 1. FC Köln. Dem Beitrag zufolge wurden Netzpolitik Informationen über eine Sicherheitslücke zugespielt, durch die man fremde Nutzerprofile übernehmen könne. So werden für neue Clubmitglieder automatisch Fanshop-Konten erstellt. Als Login dient der Vor- und Nachname. Das Standardpasswort ist die jeweilige Mitgliedsnummer. Das Problem sei allerdings, dass diese Nummern beispielsweise in der hauseigenen Fanpostille – insbesondere bei Berichten über prominente Mitglieder – veröffentlicht werden. Nimmt man jetzt den Vor- und Nachnamen sowie die abgedruckte Mitgliedsnummer, kann man sich laut Netzpolitik fast problemlos einloggen, da viele Mitglieder die Zugangsdaten nicht geändert haben und teilweise auch gar nicht wissen, dass sie ein automatisch eingerichtetes Nutzerkonto im Fanshop des 1. FC Köln besitzen. Autsch.

Auf der Seite konnten wir einerseits Adressen abgreifen. Andererseits war es auch möglich, selbst eine Email-Adresse nachzutragen und dann die Benutzerkonten für Bestellungen zu missbrauchen. Wir hätten Guildo Horn 100 T-Shirts nach Hause schicken können – zahlbar per Nachnahme.

Und als wäre das nicht schon genug, ist nun bekannt geworden, dass die Sicherheitslücke bereits seit zwei (!!) Jahren bekannt sei und dass scheinbar kein zuständiger Fanshop-Mitarbeiter etwas unternommen habe, um das Problem aus der Welt zu schaffen. Der Tippgeber, der Netzpolitik die Infos übrigens zugespielt hat, will eigenen Angaben zufolge bereits mehrmals mit dem Club in Kontakt getreten sein und diesen über die konkrete Sicherheitslücke informiert haben. Doch geändert habe sich bis gestern nichts.

Mittlerweile hat sich auch der 1. FC Köln zu dem Fall geäußert:

Der Datenschutz der Mitglieder- und Kunden Daten liegt dem 1. FC Köln sehr am Herzen. Um Missbrauch vorzubeugen und die persönlichen Mitglieds- und Kundendaten zu schützen, haben wir für alle Mitglieder ein neues Passwort für den Zugang zu unseren Online-FanShop erstellt, das zufallsgeneriert wurde. Mitglieder können Ihr neues Passwort ab sofort in unserem Online-FanShop abrufen. [...] Wir denken, dass wir damit einen möglichen Missbrauch beim Mitglieder-Login ausschließen können.

Vor dem großen Sprung auf WordPress 2.9 (soll Ende des Jahres erscheinen) haben sich die Entwickler der Blog-Software scheinbar dazu entschlossen, mit der Version 2.8.5 ein weiteres Update herauszugeben. So soll die Aktualisierung unter anderem eine Sicherheitslücke in der Trackback-Schnittstelle stopfen, über die ein DoS-Angriff auf die Installation gestartet werden kann. Diese Lücke wird von den Entwicklern allerdings als nicht sonderlich gefährlich eingestuft. Trotzdem wird Nutzern ein Update dringend empfohlen. Die deutsche Sprachversion wird wird voraussichtlich heute im Laufe des Tages verfügbar seinsteht ab sofort zum Download bereit.

Welche Probleme noch gefixt wurden?

The headline changes in this release are:

* A fix for the Trackback Denial-of-Service attack that is currently being seen.
* Removal of areas within the code where php code in variables was evaluated.
* Switched the file upload functionality to be whitelisted for all users including Admins.
* Retiring of the two importers of Tag data from old plugins.

Etwas seltsam finde ich die Beschränkung der Upload-Möglichkeiten für Admins. Demnach können sie nach dem Update aus Sicherheitsgründen nicht mehr ohne weiteres alle Dateitypen in der Mediathek hochladen. Für den normalen Nutzer gilt dieser “Schutz” bereits seit längerer Zeit (Stichwort MIME-Type-Whitelist). Der Sinn erschließt sich mir jedoch nicht so ganz, da ich als Admin in der Regel sowieso alle Rechte im Blog habe und die Beschränkungen mit der Edit-Funktion deshalb leicht aufheben kann.