Ankündigung

Einklappen
Keine Ankündigung bisher.

Aktualisierung von TLS auf den von Ihnen genutzten Webservern ab dem 18.05.2020

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Funbug
    antwortet
    Alles gut, Nils (wir waren im alten Forum schon mal beim Du). Der Fall ist erledigt und die Entschuldigung angenommen. Ich wollte nur entsprechendes Feedback geben und sicher auch kurz Luft ablassen.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von Funbug Beitrag anzeigen
    Ich kenne die Hintergründe nicht, aber wenn ich mich nicht via FTP verbinden kann, kann ich mit glob ja auch keinen DoS-Angriff ausführen.
    Es war lediglich der Versuch einer Erklärung. Warum die Entwickler die Funktionalität aus dem FTP-Server entfernt haben, ist nicht bekannt in den Details.

    Zitat von Funbug Beitrag anzeigen
    Sei's drum. Wir konnten das Problem mit WinSCP lösen.
    Super, das freut mich und uns!

    Zitat von Funbug Beitrag anzeigen
    Natürlich hätte uns sehr geholfen, wenn wir vorher einen Hinweis bekommen hätten, dass "mget" nicht mehr funktionieren wird. Das Schlimmste war auch nicht das Umstellen der Scripte, sondern die eigentliche Fehlersuche. Wäre von "NLST" und "globbing" die Rede gewesen, hätte ich "mget" damit aber wohl auch nicht in Verbindung gebracht.
    Klar, wir hätten den Hinweis auch gerne gegeben. Leider ist es praktisch illusorisch, dass man solche Auswirkungen im Vorhinein kennt. Die Analysephase diesbezüglich leider nicht vermeidbar und wir haben dann per Ticket dann auch ziemlich direkt wie ich finde den passenden Hinweis geben können. Soweit ich sie verstehe, sind Sie aber zu einem ähnlichen Schluss gekommen. Natürlich schauen wir diesbezüglich noch genauer hin und ich werde in der Vordiskussion da mehr Beachtung drauf lenken, wenn Funktionalitäten wegfallen und wie wir das jeweils mit erwähnen können.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Funbug
    antwortet
    Ich kenne die Hintergründe nicht, aber wenn ich mich nicht via FTP verbinden kann, kann ich mit glob ja auch keinen DoS-Angriff ausführen. Sei's drum. Wir konnten das Problem mit WinSCP lösen.

    Natürlich hätte uns sehr geholfen, wenn wir vorher einen Hinweis bekommen hätten, dass "mget" nicht mehr funktionieren wird. Das Schlimmste war auch nicht das Umstellen der Scripte, sondern die eigentliche Fehlersuche. Wäre von "NLST" und "globbing" die Rede gewesen, hätte ich "mget" damit aber wohl auch nicht in Verbindung gebracht.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo Funbug,

    danke für die Erläuterung. Uns war diese Auswirkung in dem Zusammenhang leider nicht bekannt bei Erstellung der Update-Information. Wir bitten um Entschuldigung.

    Sicher gibt es vom Hersteller gute Gründe das nicht weiter zu unterstützen und es ist keine böse Absicht. Soweit ich weiß, ist glob sicherheitstechnisch nicht unproblematisch und kann unter Umständen für DoS-Angriffe genutzt werden. Es ist zwar Spekulation, ob das der Grund ist, aber zumindest könnte es eine Erklärung sein, warum die Funktionalität entfallen ist. Generell möchten wir natürlich die von uns genutzte Software aktuell halten und installieren daher auch regelmäßig Updates, was sicher auch in Ihrem Sinne ist.

    Die von mir oben verlinkte Seite geht übrigens auch auf glob ein und das via set pattern zu nutzen:

    https://winscp.net/eng/docs/file_mask#basic

    Vielleicht ja eine zukünftige Option, aber klar, es sind Umstellungen diesbezüglich erforderlich und es wäre gut gewesen direkt auf den Umstand hingewiesen worden zu sein. Um für die Zukunft zu lernen: Hätten Ihnen der Hinweis auf die fehlende Unterstützung von globbing beim NLST-Kommando vorab geholfen? Dann verlinken wir das gerne zukünftig entsprechend. Die jeweiligen Anwendungsfälle, die sich dahinter verstecken sind zugegeben vorab auch zukünftig nicht wirklich identifizierbar.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Funbug
    antwortet
    Ich hole weiter aus: Einer unserer Kunden verwendet in sehr vielen Batch-Scripts u.a. den Befehl "mget *.csv" (ftp.exe) um aus diversen Ordnern alle CSV-Dateien abzurufen. Das funkionierte plötzlich nicht mehr. Zwei Stunden Fehlersuche beginnen. Danach wendete ich mich an den Support, da alles zu funktionieren schien, außer eben "mget".

    Die Rückmeldung vom Support:
    Wie durch uns angekündigt wurde eine Aktualisierung vom FTP-Dienst durchgeführt. In der neuen Version vom Pure-FTPd wird das "globbing" nicht mehr unterstützt:

    https://www.pureftpd.org/project/pure-ftpd/news/

    - The `NLST` command doesn't perform globbing any more.
    Das wurde eben so nicht angekündigt und mir ist ehrlich gesagt schleierhaft, warum gerade dieser Befehl auf einmal nicht mehr unterstützt werden soll. Selbst wenn ich das Changelog hätte lesen können, wäre mir daraus nicht hervorgegangen, dass "mget" betroffen sein würde. Ergebnis: wir durften eine Fremd-Software auf mehreren Rechnern installieren (WinSCP) und etliche Batch-Scripts umschreiben. Und das unvorhergesehen und unter Zeitdruck, weil das Abrufen der CSV-Dateien kritisch ist.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von masterframe Beitrag anzeigen

    Nils, ich glaube die beiden meinen das hier:
    https://docs.microsoft.com/de-de/win...mands/ftp-mget

    Dann würde mein Vorschlag ja passen, darauf verweist die Anleitung ja explizit

    mget wird da auch angesprochen:

    https://winscp.net/eng/docs/guide_ft...t_to_sftp#mget


    Mit freundlichen GRüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • masterframe
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen

    Bitte aber nicht direkt aburteilen, wenn ich die Problematik noch nicht ganz erkannt habe. Gerne prüfen wir das genauer, wenn Sie uns Details verraten.

    Nils Dornblut
    Nils, ich glaube die beiden meinen das hier:
    https://docs.microsoft.com/de-de/win...mands/ftp-mget


    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von Funbug Beitrag anzeigen
    Falls hier jemand über Windows mit ftp.exe den Befehl mget benutzt: der funktioniert jetzt nicht mehr. Vielen Dank auch für die Ankündigung ... nicht.
    Können Sie das etwas genauer ausführen, was Sie machen und wie die Probleme sind? So direkt ist erst einmal nichts zu einer solchen Problematik zu finden.

    Ein schneller Schuss für eine mögliche Lösung:

    https://winscp.net/eng/docs/guide_ftp_script_to_sftp

    Bitte aber nicht direkt aburteilen, wenn ich die Problematik noch nicht ganz erkannt habe. Gerne prüfen wir das genauer, wenn Sie uns Details verraten.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • BZ-Hagen
    antwortet
    Zitat von Funbug Beitrag anzeigen
    Falls hier jemand über Windows mit ftp.exe den Befehl mget benutzt: der funktioniert jetzt nicht mehr. Vielen Dank auch für die Ankündigung ... nicht.
    Ich habe das gleiche Problem.
    Wäre schön, wenn es dazu von DF eine Lösung oder weitere Infos gäbe.

    Einen Kommentar schreiben:


  • Funbug
    antwortet
    Falls hier jemand über Windows mit ftp.exe den Befehl mget benutzt: der funktioniert jetzt nicht mehr. Vielen Dank auch für die Ankündigung ... nicht.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo Marcus,

    bitte wenden Sie sich direkt über das Kundenmenü an die Technik. Solche Fälle sind recht individuell bzw. die dafür nötige Lösung. Gerne diese dann hier posten, dann haben alle Kunden etwas davon

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    Hallo Markus,

    bei einem anderen Hoster hatte ich gerade ein ähnliches Problem. Dort lag ein Limit vor, dass nur x TLS Verbindungen und auch nur x E-Mails pro Minute versendet werden dürfen. Damit ging ca. jede dritte E-Mail bei hoher Bestellfrquenz nicht raus.
    Vielleicht gibt es hier ja nun ähnliche Limits?

    Einen Kommentar schreiben:


  • Marcus
    antwortet
    Hallo zusammen,

    in die Mailheader-Falle helo-Name not "localhost" sind wir natürlich auch reingefallen. Zum Glück gab es eine entsprechend auswertbare Fehlermeldung. Im Produktivbetrieb hat es trotzdem Nerven und Zeit gekostet. So etwas nicht anzukündigen - sei es auch spontan ist...

    Heute haben wir weitere Probleme. Kann die jemand bestätigen oder lösen ?
    sendmail: Schreibfehler in TLS Verbindung: die Wartezeit ist abgelaufen
    errormsg='cannot write to TLS connection: the operation timed out' exitcode=EX_IOERR
    errormsg='Lesefehler in TLS Verbindung: A TLS packet with unexpected length was received.' exitcode=EX_IOERR

    host smtprelaypool.ispgateway.de
    Jedenfalls seit May 30 09:35:47 bis aktuell May 30 14:49:44
    Es gehen immer einige eMails problemlos raus und dann hängt er fest. Manchmal sendet er dann nach einiger Zeit doch noch erfolgreich. Sonst bricht er mit o.g. Fehlern ab.

    Aktuell wird hier eine alte Version genutzt von OpenSSL 1.0.1t 3 May 2016
    Die aber bereits TLS 1.2 beherrschen soll: https://stackoverflow.com/questions/...ded-to-openssl

    Dank & Gruß Marcus
    Zuletzt geändert von Marcus; 30.05.2020, 14:03. Grund: typo

    Einen Kommentar schreiben:


  • Schakal
    antwortet
    Guten Morgen, bei einem ManagedServer kann TLS 1.1 über ein Support Ticket manuell aktiviert werden. Unter Windows 7 kann TLS 1.2 manuell nachträglich aktiviert werden. Dazu kannst du Tools wie z.B. IIS Crypto nutzen. Ansonsten auch .NET Framework aktualiseren.

    Einen Kommentar schreiben:


  • jensw
    antwortet
    Guten Morgen! Ist es möglich, dass der Server auch weiterhin TSL 1.1 akzeptiert. Wir wurden von der umstellung überrascht und haben noch viele Kunden mit alten Windows-Rechnern / .Net, die 1.1 nutzen und unseren Server nicht mehr erreichen können.

    Einen Kommentar schreiben:

Lädt...
X