Immer wieder versuchen nervige Script-Kiddies, Spam-Bots oder sonstige bösgestimmte Zeitgenossen, durch viele Anfragen an Webserver in sehr kurzer Zeit deren Funktion zu beeinträchtigen und die Auslieferung der Inhalte an „normale“ Besucher dadurch zu erschweren oder gar ganz zu verhindern.
Heutzutage generieren sich viele Webprojekte aus dynamisch erzeuten Seiten; die Bildung der Inhalte benötigt daher Rechenzeit und Speicher auf derm Webserver, was das DoS-Problem verstärkt. Durch zu viele Anfragen in zu kurzer Zeit steigt die CPU-Auslastung an und in ungünstigen Situation ist kein Seiteaufbau mehr möglich, da dem Server der RAM ausgeht.
Um hier Entlastung zu bringen wurde das Apache-Modul mod_evasive entwickelt (Download-Mirror), welches die maximal möglichen Verbindungen pro IP-Adresse kontrolliert und im Bedarfsfall abblockt. (weiterlesen…)

Seit ein paar Stunden ist auch die deutsche Version der neuen Versionsschiene 2.1 von Wordpress („Ella“) zum Download verfügbar. Neben der Übersetzung der systemweiten Termini beinhaltet die lokalierte Ausgabe kleinere Anpassungen an den Betrieb in deutschsprachigen Systemen. Dazu zählen z.B. der Einsatz des LEO-Wörterbuchs im WYSIWYG-Editor, die Einbindung des Feeds von WPD anstelle der amerikanischen Ausgabe und eine deutsche Fassung des Standardthemes.
Da Wordpress 2.1 eine weitreichende Änderung der Blogsoftware darstellt gibt es kein Update-Paket und es müssen alle Dateien ausgetauscht werden.
Da ein Downgrade wegen Änderungen am Datenbankformat nach einem gestarteten Umstieg auf Version 2.1 nicht mehr möglich ist, muss hierbei ganz besonders auf ein vollständiges und funktionsfähiges Backup vor der Arbeit geachtet werden, um bei Problemen den alten Zustand wieder herstellen zu können.
Ich habe in einer Testinstallation die Grundfunktionalität von Theme und den wichtigsten Plugins getestet und dort funktioniert soweit alles – mit einigen kleinen Änderungen. Da aber von einigen wichtigen Plugins (z.B. UTW oder MoreSmilies) noch keine kompatible Version bereitsteht wird das Update im Produktivsystem wohl noch ein bisschen warten müssen

Schon kurz nach Erscheinen der letzten Version 2.0.6 von Wordpress, die u.a. auch Sicherheitslücken schloss, taucht nun erneut eine kritische Lücke auf, die auch bei Version 2.0.6 noch funktioniert. Neben Nennung der für die Ausführung nötigen Voraussetzungen wurde auch sofort ein passender Exploit mitgeliefert.
Es wird eine Lücke in der Datei wp-trackback.php ausgenützt, um mittels SQL-Injection Passwörter auszulesen.
Als Voraussetzung für den Exploit ist (einmal mehr) die PHP-Option register_globals=on von Nöten (eine der schlimmsten Sicherheitsproblemstellen in PHP), ausserdem PHP-Version zwischen 4 und 4.4.3, bzw. kleiner 5.1.4.
Es empfiehlt sich, bis ein Patch die Lücke schließt, entweder dafür zu sorgen, dass register_globals nicht aktiviert ist (leider bei vielen shared hosting – Paketen immer noch aktiv), oder temporär die Datei wp-trackback.php umzubenennen (oder zu löschen) — als „Nebenwirkung“ werden dann temporär keine Trackbacks mehr empfangen.
Es gibt ferner Spekulationen, dass ebengenannter Exploit auch dazu benutzt worden sein könnte, um heute Nacht das Firmen-Weblog der Studentencommunity StudiVZ mit einem ‘Defacement‘ zu versehen und dort eine Gegendarstellung des CCC zu veröffentlichen (inzwischen ist das Blog komplett offline). Solange hierzu allerdings keine offizielle Verlautbarung des Betreibers vorliegt kann dies aber nur vermutet werden.

Update:
In einem Artikel bei heise online stellt der PHP-Experte Stefan Esser einige Details klarer dar:

Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei Wordpress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die den Bug zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. (…) In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten [PHP-]Version 4.3.10 ist die Schwachstelle bereits seit August behoben.

Seit gestern ist das deutschsprachige Update auf Wordpress 2.0.6 verfügbar. Neben einiger kleiner Neuerungen (HTML Quicktags für Safari, kosmetische Korrekturen im Adminbereich, Kompatibilität mit FastCGI verbessert) sind auch zwei kritische Sicherheitslücken geschlossen worden, die neue Version sollte daher baldmöglichst übernommen werden.
Leider hat sich in Version 2.0.6 ein ärgerlicher Fehler bei der Auslieferung der RSS-Feeds mittels FeedBurner eingeschlichen. Bei Apache-Konfigurationen mit mod_php (weit verbreitet) kann es in einigen Fällen zu Fehlern bei FeedBurner kommen, wenn sich der Feedinhalt nicht geändert hat (304 – Not Modified). Neue Beiträge werden trotzdem korrekt ausgeliefert.
Als Workaround kann eine geänderte Fassung der Datei wp-includes/functions.php eingespielt werden.

Wer sich mit Programmierung und Design beschäftigt wird die Situation kennen: man benötigt dringend Informationen über einen Funktionsaufruf einer Programmiersprache oder über die Syntax einer Abfrage.

Normalerweise müsste man sich umständlich die passende API suchen und dort nachschlagen.
Schneller geht’s mit gotAPI. Diese Suchmaschine fragt definierbare, oft benutzte APIs ab und zeigt die Ergebnisse übersichtlich dargestellt an. Gimmicks wie AJAX-unterstützte Livesuche runden die Suche ab.

Eine nahezu vollständige Auflistung von Frameworks für AJAX-Technologie findet sich bei Real World Software Development. Die Zusammenstellung ist nach Programmierspachen sortiert und bietet eine umfassend verlinkte Sammlung zu Techniken der web2.0-Gimmicks.