Umfangreiche Server-Updates ab 05.05.2008
Sehr geehrte Kundin,
Sehr geehrter Kunde,
die nachfolgenden Update-Informationen sind fuer Sie relevant, sofern
Sie die bei uns einen Root-Server inkl. “Managed Hosting & Software-
Bundle” betreiben und Ihr(e) System(e) von uns administriert und
KOSTENLOS mit den u.a. Updates versehen werden.
ACHTUNG!
Sofern Sie zu diesem Personenkreis gehoeren und KEIN oder nur
eingeschraenkte Updates Ihrer Server wuenschen, senden Sie
bitte umgehend eine Mail an host@freyn.com . Ohne
weitere Rueckmeldung gehen wir von Ihrem Einverstaendnis aus
und werden die u.a. Updates zwischen dem 05.05. und dem
07.05.08 vornehmen.
Systeme OHNE “Managed Hosting & Software-Bundle” sind von den
u.a. Updates ausdruecklich NICHT betroffen. Sofern Sie kein Managed
Hosting in Anspruch nehmen oder Ihr System (auf eigenen Wunsch)
explizit von Updates ausgenommen wurde, haben Sie die Moeglichkeit,
eine kostenpflichtige Aktualisierung Ihres Servers individuell mit uns
abzustimmen (s. Pkt. 7.).
O===============[ INHALT ] ================O
O===[ 1.) Zeitlicher Ablauf der Updates
O===[ 2.) Update für MySQL 5
O===[ 3.) Update für Kernel 2.6
O===[ 4.) NEU: PostData-Greylisting
O===[ 5.) Spam- und Virenscanner
O===[ 6.) Sonstige Systemupdates
O===[ 7.) Updates auch ohne Manged Hosting
O==========[ 1.) Zeitlicher Ablauf der Updates ] ===========O
In der Zeit vom Mittwoch, den 30.4.08 (KW18), bis zum Donnerstag, den
8.5.08 (KW19) werden unsere Administratoren umfangreiche Software-
Updates an allen von uns betreuten RootServern vornehmen. Alle Updates
sind selbstverstaendlich ausfuehrlich vorab in produktiven Hosting-
umgebungen getestet worden. Nach unseren Erfahrungen mit tausenden
umgestellter Hosts, ist insgesamt mit keinen technischen Problemen
oder Einschraenkungen zu rechnen.
Viele der Updates sind dringend zu empfehlen, um die Sicherheit
und Stabilität Ihres Systems aufrecht zu erhalten. Im Zuge der
erforderlichen Kernel-Updates muss Ihr System rebootet werden. Die
Ausfallzeit liegt bei ca. 2-5 Minuten. Im Zuge der mySQL-Updates
kommt es zur Unterbrechung aller Datenbankverbindungen von wenigen
Sekunden.
Aufgrund des Umfanges der teilweise manuellen Updates koennen wir
den exakten Update-Zeitpunkt fuer Ihr System leider organisatorisch
nicht eingrenzen. Wir bitten um Ihr Verstaendnis und werden Sie nach
Abschluss aller Arbeiten informieren.
O============[ 2.) Update für MySQL 5 ] =============O
Für MySQL 5 liegt eine aktualisierte Version 5.0.51a vor. Seit der
letzten durch uns installierten Version wurden zahlreiche
Sicherheitsluecken und Fehler (Bugs) beseitigt. Weiterhin wurden
einige mit MySQL 5 eingeführte Features komplettiert und um
Fehler bereinigt.
Durch die Aktualisierung von MySQL 5 gibt es eine kurze Unterbrechung
der Datenbankverbindungen, welche jedoch nach wenigen Sekunden wieder
verfügbar sind. Anwendungsseitig sind unserer Erfahrung nach in über 99%
der Fälle keine Einschränkungen zu erwarten.
Siehe dazu auch:
O=[ MySQL Community Server 5.0 Enhancements and Release Notes
http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0.html
O=[ Release Notes for MySQL Community Server 5.0.51a
http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-51a.html
O=[ Neue Version von MySQL beseitigt DoS-Schwachstellen
http://www.heise.de/security/news/meldung/86547/
O=[ MySQL 5.0.45 schließt DoS-Lücke
http://www.heise.de/security/news/meldung/92703/
O=[ Updates für MySQL beheben Schwachstellen
http://www.heise.de/security/news/meldung/100494/
O============[ 3.) Update für Kernel 2.6 ] =============O
Für den Kernel 2.6 liegt eine aktualisierte und durch uns angepasste und
optimierte Version 2.6.24.2 vor. Der unten angegebene Root-Exploit
konnte bei unseren Systemen durch unsere zusätzlichen
Sicherheitsmassnahmen keinen direkten Schaden anrichten, ein Update ist
trotzdem ZWINGEND erforderlich! Im Zuge der Kernel-Updates wird es zu
Reboots der Systeme mit einer Ausfallzeit von jeweils 2-5 Minuten kommen.
Weiterhin wurde der Kernel durch uns um die IPSET-Funktionalität
erweitert, welche unter anderem für das neue Greylisting (weiter unten)
benoetigt wird und teilweise IPTABLES ersetzt, welches bei sehr vielen
IP-Regeln die Gesamtleistung eines Systems negativ beeinflusst.
Siehe dazu auch:
O=[ Root-Exploit für Linux-Kernel
http://www.heise.de/security/news/meldung/103279/
O=[ Changelog Kernel 2.6.24
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.1
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.2
O============[ 4.) PostData-Greylisting ] =============O
In enger Zusammenarbeit mit ausgewiesenen EXIM-Experten haben wir
in den letzten Monaten ein extrem wirkungsvolles und intelligentes
PostData Greylisting entwickelt, das das Spam-Aufkommen auf Ihrem
Server ohne gravierende Nachteile und sogenannte “false positives”
drastisch reduzieren wird.
Auf unseren eigenen Hostingsystemen ist dieses Feature bereits mit
sehr großem Erfolg seit 10/2007 im Einsatz. Das PostData-Greylisting
wird im Zuge der aktuellen Updates auch fuer alle Benutzer im
Server-Interface im Bereich der AntiSpam-Konfiguration individuell
administrierbar sein.
Weiterfuehrende Informationen finden Sie auch in den u.a. News,
mit denen wir unsere virtuellen Hostingkunden im vergangenen Jahr
ueber die neuen Features informiert hatten:
O=[ Wikipedia Greylisting
http://de.wikipedia.org/wiki/Greylisting
Da das Greylisting einen Eingriff in den Mailverkehr darstellt, muessen
die Benutzer Ihres Servers das Greylisting explizit in den AnitSpam-
Einstellungen aktivieren. Die Aktivierung wird empfohlen. Bitte beachten
Sie, dass dieses Feature erst ab dem 05.05.08 zur Verfuegung steht
und derzeit im Server-Interface noch NICHT sichtbar ist.
Sie koennen das Feature im Server-Interface aktivieren oder deaktivieren.
Eine Aktivierung ist allerdings nur bei eingeschaltetem AntiSpam-Filter
möglich. Sie finden den entsprechenden Schalter (nach erfolgtem Update
Ihres Servers) inkl. einer Kontexthifle im Server-Interface Ihrer Domain unter:
http://www.IhreDomain.xy/server-interface/
(ersetzen Sie “IhreDomain.xy” durch den Namen Ihrer Domain)
KLICK: “e-Mail”
KLICK: “Antispam”
KLICK “PostData-Greylisting verwenden”
Anmerkung: Im Zuge dieses Updates wird die Whitelist-Funktionalität
erweitert. Fuer alle in die Whitelist eingetragenen Absender erfolgt
weder eine Filterung durch den SpamAssassin, noch durch die
SpamHaus-Blacklist oder das Greylisting.
O============[ 5.) Spam- und Virenscanner ] =============O
Neue Versionen des SpamAssassin (3.2.4) sowie des Virenscanner Clamav
(0.93) stehen bereit. Die neuen Versionen wurden intern ausfuehrlich
getestet und auf niedrige Systemlast optimiert. Für diese Updates muss
der Betrieb der Systeme oder Dienste nicht unterbrochen werden!
Siehe dazu auch:
O=[ SpamAssassin 3.2.4 has been released
http://spamassassin.apache.org/news.html
O=[ ClamAV 0.93 dichtet Sicherheitslecks ab
http://www.heise.de/security/news/meldung/106486/
O=[ Codeschmuggel durch präparierte .exe-Dateien in ClamAV
http://www.heise.de/security/news/meldung/106462/
O=[ Changelog Clamav
http://svn.clamav.net/svn/clamav-devel/trunk/ChangeLog
O============[ 6.) Sonstige Systemupdates ] =============O
Aus sicherheits- und stabilitätsgruenden werden Dovecot auf Version
1.0.13, Proftpd auf Version 1.3.1, libidn auf Version 1.6 und libpng auf
Version 1.2.27 aktualisiert.
Für die o.a. IPSET-Funktionalitaet wird zudem iptables auf Version
1.4.0 aktualisiert und ipset in Version 2.3.0 bereitgestellt.
Weiterhin steht Ruby nach den Updates in Version 1.8.6 inkl. dem
mehrfach angefragten “Ruby on Rails” Framework zur Verfuegung.
Bereits seit Februar wurden im Zuge automatischer Updates aktuelle
Major-Versionen von Typo3, Joomla! und WordPress im
Installtionsmanager bereitgestellt.
Diese Updates haben keine Unterbrechung Ihrer Systemdienste
zur Folge:
Siehe dazu auch:
O=[ Proftpd Release 1.3.1
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.1
http://www.proftpd.org/docs/NEWS-1.3.1
O=[ Dovecot Release 1.0.13
http://www.dovecot.org/list/dovecot-news/2008-March/000065.html
O=[ libpng führt untergeschobenen Schadcode aus
http://www.heise.de/security/news/meldung/106464/
O=[ Ruby 1.8.6 veroeffentlicht
http://www.ruby-lang.org/de/news/2007/03/13/ruby-1-8-6-verffentlicht/
O==========[ 7.) Updates ohne Manged Hosting ] ===========O
Sofern Ihr(e) Server derzeit NICHT ueber das “Managed Hosting & Software-
Bundle verfuegen, haben Sie die Moeglichkeit
die o.a. Updates fuer Ihr System ganz oder teilweise als kostenpflichtige
Updates zu beauftragen.
Bitte wenden Sie sich in diesem Falle per Mail an host@freyn.com
und teilen Sie uns mit, welche Updates Sie wuenschen. Bitte unterbreiten
Sie direkt einen Terminvorschlag. Unmittelbar vor Wochenenden oder
Feiertagen fuehren wir keine Updates durch!
Ein Administrator wird daraufhin die noetigen Systemvoraussetzungen
pruefen und die voraussichtlichen Kosten kalkulieren. Die Abrechnung
der Technikereinsaetze erfolgt nach tatsaechlichem zeitlichen Aufwand
zu den bekannten Konditionen mit EUR 25,- je 15 Minuten (= 1AE) zzg.
MwSt. Fuer ein Kernel Update koennen Sie z.B. von 1AE je EUR 25,-
ausgehen. Fuer alle sonstigen Updates muss zunaechst die Pruefung
der Durchfuehrbarkeit und des Aufwandes erfolgen.