Alex' blog (Artikel mit Tag bug)

Media Receiver X 301 T ausgetauscht und Firmware Update

nospam@example.com (Alex) — Sat, 14 Jun 2008 15:49:00 +0200

Gestern habe ich meinen neuen Media Receiver X 301 T bekommen, da der alte bereits das Zeitliche gesegnet hat. Somit war auch die Ersatzlieferung noch in-time.

Den alten Receiver habe ich seitdem nicht mehr eingeschalten. Daher war ich etwas verblüfft als ich nach der Einrichtung des neuen Receivers schon an der eingeblendeten Uhrzeit im Display des Receivers während des Boot-Vorgangs feststellen konnte, dass ein Firmware-Update herausgekommen sein muss.

Üblicherweise startet der Receiver mit "12:00", was sich erst verändert, wenn der Receiver über das Internet einen NTP-Server erfolgreich kontaktiert hat. Da sich während des Boot-Vorgangs nun aber auch "16:00" meldet, musste etwas anders sein.

Verbesserungen konnte ich bislang nicht wirklich feststellen, da - natürlich genau seitdem ich den neuen Receiver habe - bundesweit das IPTV der T-Com ausgefallen ist ... Seit heute 15:34 Uhr ist es allerdings wieder da.
Aber das Menü wurde etwas umstrukturiert und ein neuer Menüpunkt für HD-Kopierschutz ist hinzugekommen. Allerdings findet man jetzt die Übersicht des Speicherplatzverbrauchs der Festplatte einfacher als früher: man muss auf der Menüseite "Systemressourcen" nicht mehr nach unten scrollen, wo sich die entsprechende Zeile früher versteckt hatte. Das man dort scrollen kann, um an weitere Informationen zu kommen, sieht man nämlich nicht, da keine Scrollbalken o.ä. vorhanden sind.

Was man bei einem Austauschgerät allerdings noch beachten muss, ist, dass man im Menü den Menüpunkt "Videorekorder einrichten" anwählen muss und den anschließenden Prozess einmal durchlaufen muss, da er sonst nicht funktioniert. Das gilt allerdings nur für Austauschgeräte und nicht für das allererste Gerät, was man sich zugelegt hat. Das man diesen Vorgang allerdings durchführen muss, sagt einem niemand. (Okay, vielleicht an der technischen Hotline für 14 Cent/Minute ...)
Warum das so ist, ist eigentlich relativ einfach erklärt: es kann pro Haushalt (bislang) immer nur ein Videorekorder existieren (und das vorherige Gerät ist dazu online vermerkt), wohl aber mehrere Receiver ohne VCR-Funktion.

T-Mobile MDA Vario III und OpenStreetMap

nospam@example.com (Alex) — Thu, 12 Jun 2008 17:30:00 +0200

Da ich dem OpenStreetMap-Projekt auch etwas an Kartenmaterial beisteuern wollte, habe ich mich mal beraten lassen, was für brauchbare Programme es für das Tracken gibt.
(Danke an Fabian !)

Ich habe mich nun mangels JSR-179 Unterstützung seitens der mitgelieferten KVM in meinem neuen T-Mobile MDA Vario III für das Windows Mobile 6 taugliche Programm namens GPS2Blue entschieden, welches wunderbare Arbeit beim Tracking verrichtet. Funktioniert also einwandfrei mit dem internen GPS-Empfänger. Ob das Routen der GPS-Daten zum PC mittels Bluetooth oder TCP/IP ebenfalls funktioniert, interessiert mich nicht. Daher bleibt diese Funktionalität von mir ungetestet.

Leider erzeugt GPS2Blue kein GPX-Format, so dass im Nachhinein das Logfile konvertiert werden muss. Hierzu benutze ich GPSBabel, welches mit folgendem Aufruf die Konvertierung erledigt: gpsbabel -i nmea -f eingabe.log -o gpx -F ausgabe.gpx

Letztendlich also kein Beinbruch. GPSBabel gibt es übrigens für Linux, Windows, Unix und OS X.

Ein Problem ist bei mir bei der Verwendung von GPS2Blue (Version 1.9) mit dem MDA Vario III aufgetreten: das Gerät geht nach kurzer Zeit in den Standby-Modus und damit werden keine Trackpoints mehr angelegt. Im Programm gibt es zwar die Option "File" => "Power settings" => "Disable powersaving", welche aber nicht aktiviert werden kann. Zumindest bleibt das Häkchen, was man sonst eigentlich setzen kann, nicht drin.

Die Lösung für das Problem ist recht einfach: man öffnet die Datei GPS2BlueA201.xml im Programmverzeichnis von GPS2Blue mit einem Editor (ich benutze hierfür die mobile Version des Total Commanders) und ändert den Wert auf True im Tag <bDisableTurnOff>False</bDisableTurnOff>.
Einen Schreibschutz braucht man für die Datei über die Eigenschaften derselben nicht zu vergeben.

Im September werde ich dann mal etwas mehr die Gegend um diesen Kartenausschnitt (Quelle: OpenStreetMap, Lizenz: Creative Commons Attribution-Share Alike 2.0) kartografieren. Vielleicht erkennt der ein oder andere ja, um welche Gegend es sich dabei handelt.

Ubuntu 8.04 - Alternative Installations-CD macht Probleme

nospam@example.com (Alex) — Tue, 29 Apr 2008 19:39:00 +0200

Nachdem ich auf einem anderen PC die Wubi-Installation von Ubuntu 8.04 ausprobiert habe, habe ich jetzt das Upgrade von 7.10 auf 8.04 auf meinem eigenen Laptop vornehmen wollen.

Da dies seither fehlschlägt und nur in einem unbenutzbaren System endet, habe ich mich dieses Mal trotzdem nicht davon abhalten lassen und habe es erneut ausprobiert. Na ja, das Ergebnis war wie immer das gleiche: es läuft nichts mehr.

Weil ich damit als gebrandmarktes Kind gerechnet hatte, habe ich die Neuinstallation per CD beginnen wollen. Das stört mich auch nicht weiters, da ich Ubuntu bisher sowieso nicht wirklich benutzt habe, weil ich die Compex WL54G nicht mit WPA-Verschlüsselung zum Laufen bekomme. Ohne Netz habe ich relativ wenig Verwendung dafür.

Einmal hat es per NDISWrapper funktioniert. Nach einer halben Stunde surfen im Netz hat sich die Karte allerdings von alleine verabschiedet und seitdem lässt sich auch keine Verbindung mehr mittels dem NDISWrapper herstellen. (Unter Windows XP funktioniert die Steckkarte mit WPA einwandfrei.)

Also griff ich für die erneute Installation zur alternativen Installations-CD, damit ich gleich (!) ein zum Teil verschlüsseltes System aufsetzen kann. Nachdem sich dann das Partitionsprogramm reproduzierbar nach dem Einstellen der Keys aufhängt und ich momentan noch nicht weiß, wo ein passendes Logfile dazu rumfährt, habe ich die Installation vorerst einmal zur Seite gelegt. Ich brauche sowieso noch eine neue WLAN-Karte, weil ich mich mit der Compex nicht mehr rumärgern will.
Ausgesucht habe ich mir hier eine D-Link DWL-G650 (nicht DWL-G650+). Die soll mit WPA unter Ubuntu funktionieren. Kann das jemand bestätigen ?

Eigentlich hatte ich gehofft, dass das Partitionsprogramm nichts verschlimmbessert hat, aber nach einem Neustart hatte ich dann erst einmal Pech: Grub hat es zerbröselt. Da ich Grub ohne ein funktionierendes Ubuntu-XP-Dualboot-System sowieso nicht brauche, habe ich alles wieder mit der Recovery-Konsole von XP in Ordnung gebracht.

Somit bootet eben vorerst nur ausschließlich Windows XP. Drum kümmern werde ich erst wieder nach dem Erwerb einer neuen WLAN-Steckkarte, die nachweislich WPA (oder gerne auch WPA2) unter Linux hinbekommt.

Anforderungen an die neue WLAN-Steckkarte:

Cardbus
WPA unter Windows/Linux
802.11 b/g

Auf den Monitor-Mode, 802.11 a, n-Draft, Anschluss für externe Antenne und WPA2 verzichte ich gerne. Das interessiert mich erst wieder bei einem neuen Laptop.

Update: Ich habe die Finger doch nicht von Ubuntu lassen können und habe mir das Problem mit dem alternativen Installer nochmal genauer angeschaut und gelöst.

Der Installer bleibt immer bei 47% stehen, sobald man eine Swap-Partition in einem verschlüsselten Volume erstellt und dieses mit einem Zufallsschlüssel verschlüsseln lässt. Mit einem Passphrase ist es kein Problem.

Und weil das mit einem Passphrase kein Problem darstellt, beginnt man einfach die Installation genau so und ändert nach erfolgreicher Installation das in der Datei /etc/crypttab ab. Man kann natürlich die Swap-Partition für die Installation auch einfach gar nicht benutzen und spart sich so die Eingabe eines zweiten Passphrase. Ist letztendlich egal.

Was mich momentan noch sehr verwundert, ist die Tatsache, dass im Wiki AES-XTS-PLAIN als Cipher angepriesen wird. Den beherrscht die alternative Installations-CD allerdings noch gar nicht. Man muss später wieder alle Volumes erneut verschlüsseln, wenn man AES-XTS-PLAIN benutzen möchte.

Noch seltsamer wird es allerdings dann, wenn man es im Nachhinein tatsächlich mit AES-XTS-PLAIN "überarbeitet". Der Befehl "sudo dmsetup table" zeigt die Volumes als AES-CBC-PLAIN an. Das ist allerdings nicht Sinn und Zweck der Einrichtung von XTS.

Ubuntu 8.04 - Wubi-Installation

nospam@example.com (Alex) — Sat, 26 Apr 2008 16:55:00 +0200

Auf dem Acer Aspire 7520G habe ich vorgestern einmal die Wubi-Installation von Ubuntu 8.04 ("Hardy Heron") ausprobiert. Lief an sich erstaunlicherweise ganz problemlos ab. Kleine Fehler gibt es aber noch überall.

Nur weil der Installer "deutsch" erkennt, heißt dies noch lange nicht, dass nachher das Tastatur-Layout und die Zeitzone wirklich stimmen. Eine falsche Zeitzone bringt noch weitere Probleme mit sich: sudo verweigert seinen Dienst bis die Uhrzeit (also Zeitzone) angepasst wurde. Darauf kommt wahrscheinlich kein unwissender Neuling, der gerade von Windows umsteigt ...

Man muss also nach der Installation nochmal einiges überarbeiten. Wenn man in der sources.list in /etc/apt sowieso noch weitere Paketquellen freischalten will, so kann man gleich noch die mit "at" beginnenden URLs zu "de" abändern.

Wer nach der Installation einen komplett fertigen und vollständig laufenden 7520G erwarten, wird enttäuscht. Dies ist jedoch zu erwarten und liegt nicht an Ubuntu.

Was out-of-the-box nicht funktioniert:

integrierte Webcam
Atheros-WLAN-Interface
zusätzliche Tasten
Nvidia Geforce 8400M G Grafikkarte

Bislang noch ungetestet:

USB
Firewire

Was ich generell nicht ausprobieren kann, da der Laptop in der vorliegenden Unterversion (302G16) nicht über die folgende Hardware verfügt:

Bluetooth
DVB-T Tuner
Multimedia-Fernbedienung

Da ich den integrierten Subwoofer generell für untauglich halte, werde ich mich hier zu einem (Nicht-)Funktionieren nicht äußern!

Die Grafikkarte startklar zu machen gestaltet sich im Nachhinein sehr einfach. Wer den grafischen Firlefanz von Compiz und Co. braucht, der kann dies danach auch noch problemlos anwerfen.

Der Atheros-Chipsatz macht allerdings größere Probleme. Selbst mit dem NDISWrapper ließ er sich nicht zur Arbeit überreden. Das wird mich noch etwas Zeit für die Recherche kosten.

Die Webcam weigert sich momentan auch noch standhaft, obwohl ich dafür schon einiges selbst kompiliert habe. Das wird ebenfalls noch etwas Zeit brauchen.

Mit out-of-the-box ist bei diesem Modell also bislang noch nichts.

Update: Die beiden Mikrofone sowie der Kartenleser funktionieren auch out-of-the-box. Als Hinweis: Das "Front-Mic" ist das Mikrofone neben der Webcam, das "Mic" ist die Mikrofonbuchse an der Vorderseite.
Die vier USB-Anschlüsse werden wahrscheinlich alle anständig funktionieren. Werde ich noch testen. Den Firewire-Anschluss kann ich mangels passender Hardware leider nicht testen.

Spoofing-Schwachstelle im Webbrowser Firefox

nospam@example.com (Alex) — Thu, 03 Jan 2008 11:47:00 +0100

Aviv Raff hat eine neue Spoofing-Schwachstelle in der HTTP-Auth Authentifizierung im Webbrowser Firefox gefunden.

Details zur Lücke hat er bislang nicht veröffentlicht. Nur einen Screenshot der Authentifizierungs-Dialogbox.

Hiermit veröffentliche ich ebenfalls nur einen Screenshot einer (weiteren !?) Spoofing-Schwachstelle, die aber ausschließlich durch den Benutzer zustande kommt.
Ob es letztendlich der gleiche Fund ist, wird sich nach einer detailierteren Beschreibung Raffs zeigen.

Leider macht einem der deutsche Satzbau in Firefox einen Strich durch die Rechnung. Wer nun einen geschickten deutschen Satz zusammenbekommt oder nur auf die englischsprachige Firefox-Version setzt, hat keine weiteren Probleme. So ist der Satzbau noch fehlerhaft - spaßeshalber habe ich Raffs Realm 1:1 übernommen. Eigentlich ist das von der Schwierigkeit her eine "0815-Lücke", die sowohl bei Basic- als auch Digest-Authentifizierung funktioniert.

Wer es selber einmal ausprobieren will: http://testing.bitsploit.de
(Nur für kurze Zeit verfügbar.)

Neues Buch: The Web Application Hacker's Handbook

nospam@example.com (Alex) — Thu, 27 Dec 2007 22:44:00 +0100

Seit heute bin ich stolzer Besitzer eines neuen Buches: "The Web Application Hacker's Handbook" (ISBN-13: 978-0470170779). Geschrieben von den beiden Autoren Dafydd Stuttard und Marcus Pinto.

Ich bin gespannt auf das, was mir in den letzten Jahren u.U. entgangen sein sollte. Hoffentlich nicht viel.

Update: Komplett durchgelesen habe ich das Buch bisher zwar noch nicht, aber es fehlt definitiv die Erwähnung der Header "Range" und "Request-Range". Schließlich lässt sich mit letzterem einiges anstellen.

Richtige Header für Enigmail ?!

nospam@example.com (Alex) — Tue, 18 Dec 2007 13:52:00 +0100

Bernd hatte mich vor einigen Wochen auf einen kleinen Umstand hingewiesen, der das Enigmail-Plugin betrifft. Und zwar hatte er bemängelt, dass nicht alle Enigmail-eigenen E-Mail-Header entsprechend als Nicht-RFC-822 konform gekennzeichnet sind (also beginnend mit den beiden Zeichen "X-").

Da ich jetzt wieder über seine E-Mail gestolpert bin, habe ich dies zum Anlass genommen, um mein Enigmail entsprechend zu patchen.

Nun hat Hanno mir aber mitgeteilt, dass RFC-2822 das alte RFC-822 ablösen soll. Darin wäre dies aber nicht mehr zwingend mit "X-" vorgeschrieben, sondern man könne das nehmen, was man will, solange es nicht bereits anderweitig definiert wurde.

Irgendwie sagt mir in dieser Hinsicht das alte RFC mehr zu ...

BrowserFuzz

nospam@example.com (Alex) — Sun, 02 Dec 2007 14:14:00 +0100

Gestern habe ich mir mal die Zeit genommen und mein altes Projekt "BrowserFuzz" portiert und dabei etwas neuzeitlicher gestaltet.

Alle alten Funktionen sind zwar noch nicht wieder vorhanden, aber das lässt sich in den nächsten Stunden erledigen.

Gerade die Dateioperationen sind gegenüber dem uralten Pascal-Quellcode wesentlich schneller geworden. Zum ist bereits Unterstützung für (X)HTML 5 (soweit der aktuelle Entwurf es erlaubt) integriert.

Überlegungen

nospam@example.com (Alex) — Thu, 22 Nov 2007 22:18:00 +0100

Auf Grund der vielen sicherheitskritischen Bugs im Firefox, die sich langsam anhäufen, bin ich ernsthaft am Überlegen, ob ich nicht doch besser auf Opera umsteigen sollte ...

IKEA benutzt bereits Windows Vista

nospam@example.com (Alex) — Fri, 16 Nov 2007 20:57:00 +0100

IKEA setzt bereits auf Microsoft Windows Vista ...

Vielleicht sollte man auch noch erwähnen, dass der PC bereits mächtig hing, so dass ich nicht mal eben im Internet (oder gar Intranet) hätte surfen können.

Fuzzing Samsung SGH-D600

nospam@example.com (Alex) — Sat, 10 Nov 2007 14:07:00 +0100

Vorgestern kam mir die spontane Idee mein Handy einmal zu fuzzen. Es sollte allerdings nicht ganz so einfach werden. Abgeschlossen ist diese Sache auch noch nicht.

Eigentlich dachte ich, dass das Kopieren einiger fehlerhafter JPEGs bereits den ein oder anderen Bug beim Betrachten im Handy hervorrufen würde. Jedoch lässt Samsung einen so weit gar nicht erst kommen. Benutzt habe ich das "Samsung PC Studio" zum Übertragen der Dateien.

Hier untersucht das "Samsung PC Studio" vor dem Übertragen die jeweilige Datei auf Korrektheit und bricht den Kopiervorgang u.U. ab. Das betrifft allerdings nur die Standard-Ordner auf dem Handy. Sobald man bspw. fehlerhafte PDF-Dateien in den Ordner "Andere Dateien" kopiert, worauf dann nur der Picsel File Viewer zugreifen kann, klappt der Kopiervorgang allerdings.

Jedoch habe ich das Gefühl, dass der Picsel File Viewer in einer Art Sandbox läuft, weil er ständig nur mit einer Fehlermeldung "Dokument beschädigt" die Anzeige abbricht. Möglicherweise waren es aber auch einfach nur noch nicht genug fehlerhafte PDFs.

Zurück nochmal zum "Samsung PC Studio":
Da besagte Software die Datei vorfiltert, könnte man vermuten, dass das Handy wahrscheinlich über (z.B.) JPEGs exploitbar ist, weil seitens des Handys kaum bis gar nicht gefiltert wird. Falls man den Weg über das "Samsung PC Studio" gehen will, so müsste dieses erst reverse engineert und entsprechend gepatcht werden oder einfacher: Ein eigenes Programm zur Dateiübertragung per AT-Kommando schreiben.
Was ich auch noch ausprobieren muss, ist der Weg über Bluetooth. Vielleicht lässt sich per OBEX generell viel Arbeit sparen.

Bugs in der Kodak Kiosk Software

nospam@example.com (Alex) — Wed, 31 Oct 2007 15:55:00 +0100

Eigentlich drucke ich keine Fotos aus, aber heute morgen habe ich es einmal an so einer Kodak Foto-Station ausprobiert. War zwar nicht mein erstes Mal und daher wusste ich, dass die Qualität für so einen schnellen Ausdruck eigentlich ganz nett ist.

Bin dann richtig schön oldschool mit einer Diskette in den dm-Drogeriemarkt, um dort ein Foto auszudrucken. Das Foto kam dann allerdings mit einem deutlichen Rotstich heraus. Da gehört wohl der Drucker kalibriert. An mir oder dem Foto lag es nicht. Nachdem ich dann über die vorhandenen Funktionen mein Foto ausgebessert hatte, kam es dann auch endlich anständig aus dem Drucker heraus. (Die schlechten Fotos habe ich natürlich nicht bezahlt.)

Nach diesem Testlauf brauchte ich aber noch ein paar andere Formate. Dabei bin ich dann auf zwei Bugs gestoßen:

der Automat hat zweimal den jeweils dritten Druckauftrag einfach verworfen.
die Software des Automaten (mit einem englischen Microsoft Windows XP und abgeschaltener Luna-Oberfläche) stürzte mehrfach bei der gleichen Aktion ab (siehe Bild).

Den Stand der Software (steht unten links auf dem Monitor) habe ich mir allerdings nicht notiert, sonst könnte man Kodak die sehr unschönen Fehler detailiert melden. So ein Neustart dauert nämlich ziemlich lange auf dieser Hardware und nervt daher gewaltig ...

Die Software meldet beim Hochfahren auch sämtlichen Laufwerksbuchstaben und deren Speicherkapazität. Man könnte meinen, die Fotos der Kunden werden nach Abschluss eines Auftrages danach nicht gelöscht ...

Multipoint 0.9.4b anfällig für DoS-Attacken

nospam@example.com (Alex) — Sun, 28 Oct 2007 19:59:00 +0100

Die FTP-Server Software "Multipoint 0.9.4b" ist anfällig für DoS-Attacken über das FTP-Protokoll (Control Port).

U.U. lässt sich dieser Bug auch für eine Remote Code Execution ausnutzen. Da der FTP-Server (ftpserver.exe) mit System-Rechten läuft, wäre dieser Umstand fatal.

CVE Extension für Firefox 2 und Internet Explorer 7

nospam@example.com (Alex) — Fri, 19 Oct 2007 01:00:00 +0200

Eben habe ich festgestellt, dass ich gar keine Such-Engine für CVEs im Browser integriert habe. Auf die Schnelle habe ich bei Google auch noch keine Engine im OpenSearch-Standard gefunden, so dass ich mal wieder meine eigene Extension für Firefox 2 und IE 7 geschrieben habe.

Zur Installation einfach HIER klicken.

Update: Das führende "CVE-" ist optional und muss somit zur Suche nicht zwingend angegeben werden.