Fedora: Wechsel zu Matrix im Gespräch

Eine zum kleinen Teil hitzige Diskussion in der Fedora-Mailingliste, um einen möglichen Wechsel von IRC als Kommunikationskanal hin zu Matrix, hat letzte Nacht zu einem kräftigen „Emailchat“ geführt.

Fedora: Wechsel zu Matrix im Gespräch

Hinweis: Die folgenden Zitate sind stark auf das wesentliche gekürzt, ebenso die Namen. Wer es nativ nachlesen möchte, müßte sich das Archiv der Mailingliste von Fedora ansehen.

Matthew Miller vom Fedora Führungsgremium weitete die Diskussion um die Idee des Fedora Council’s auf die Fedora Mailingliste aus. Dazu lud er zu einer Videokonferenz aller interessierten Personen ein. In dem Meeting soll besprochen werden, daß IRC als Kommunikationskanal abgelöst und zu Matrix als „besserem“ System gewechselt werden sollte. Der an sich gute Vorschlag, über die Idee etwas breiter zu diskutieren, löste sofort Panikreaktionen einiger Listenteilnehmer aus.

„No, please. IRC bridges need to be closed to force users to switch to Matrix.“ V. Z.

Ursprünglich geplant war eine Brücke zwischen Matrix und IRC zu nutzen und so beide Systeme mit ihrem jeweiligen Vorteil zu betreiben. Zwischenzeitlich rutschte aber jemandem der Begriff „Force“ im Sinne von „Zwingen“ raus, was schon nach wenigen Minuten zur Detonation führte 😉

„force“? You may have said the quiet bit aloud … R.

gefolgt von:

„force“? You may have said the quiet bit aloud …

yes, it got my attention too … D.P.

Matthew Miller konnte dann die beruhigen, die schon eine Verschwörung witterten:

„To be clear, V.Z. isn’t an insider to some secret decision here. I think you should just read this as enthusiasm.“ M.M.

Matthew konnte dann auch den Plan etwas näher belegen, da schon einige Untergruppen auf Matrix gewechselt waren und wohl gut Erfahrungen gemacht haben. Selbst Red Hat unterstützt den Wechsel, weil sie dann auch bei sich auf die Erfahrungen von Fedora zurückgreifen können. Fedora ist ja bekanntermaßen der Testballon von Red Hat.

2h20m nach dem Start läutete dann T.H. den ersten kräftigen Downer ein, als er seine Testergebnisse präsentierte:

„More amusingly one of them crashed as soon as I logged in and a second went into a „your window is too small mode“ as soon
as I resized it to match my IRC client.“ T.H

Die Situation beruhigte sich etwas, falls man bei einem „Chat“ über Email da überhaupt von sprechen kann. Man konnte sogar noch etwas über die Fensterbedienshortcuts lernen:

You don’t have to grab by the edge to resize, GNOME has useful features:

– winkey+left mouse button inside the window let you move it (no need to target header bar)
– winkey+middle mouse button inside window let you resize closest edge

M.C. hatte dann die gleiche Idee wie ich, nur mir fiel nicht mehr ein, wo ich das gesehen hatte:

„Enjoy: https://github.com/matrix-org/purple-matrix/“ M.C.

Mir war nämlich auch so, daß es einen Matrixbackend für Pidgin geben würde, wo mit sich die Crashe beim Start von Programmen auf Pidgin beschränken würde. Ich erwähne das nur, weil mein Pidgin auf dem Tablet, auch gern Crashmeldungen sendet 😉 Damit ist es den Matrixclienten mindestens gleichwertig 🙂

Die Diskussion wird dann im Web weitergeführt:

https://discussion.fedoraproject.org/t/the-future-of-real-time-chat-discussion-for-the-fedora-council/24628

leider mit Discourse, und da hört es dann schon wieder auf. So blöd es klingt, aber die Matrixdiskussion im Discourse, könnte die Discourse Webseite bei Fedora dann überflüssig machen, weil die gleichen Features dann im selbstgehosteten Matrixserver wären, aus denen man Discourse benutzt hat 😀 Da wäre ich dann wieder dafür 😀

IMHO: Die Idee mit dem Matrixserver, zumal selbstgehostet, ist gar nicht blöd. Ich würde dies unterstützen, obwohl auch ich mal ein UUCP/IRC Dino war

 

LUKS2: CVE-2020-14382 – out of bounds write

Zeit für ein Update von CryptSetup: CVE-2020-14382

LUKS2: CVE-2020-14382 – out of bounds write

CryptSetup ist das Tool, daß Luks Container, egal ob als Datei oder Festplatte, einhängt und/oder bearbeitet. Eine Lücke im Speicherhandling von CryptSetup kann von einem Angreifer ausgenutzt werden, indem er einen manipulierten Container einer anfälligen Version von CryptSetup präsentiert, was z.B. durch das Einstecken eines USB Sticks ausgelöst wird.

Die Lücke in CryptSetup sorgt dafür, daß weniger Speicher allokiert wird, als tatsächlich angegeben ist, aber von dem manipulierten Inhalt des Containers aufgrund mangelnder Grenzprüfungen, überschrieben werden kann. Damit gelangt ggf. Code an eine Stelle, die von einem anderen Prozess genutzt wird. Die Lücke CVE-2020-14382 kann also ggf. zu Arbitrary-Code-Execution führen, wenn es im System dumm läuft.

Daher empfehle ich Euch kurz mal nach dem Zustand Eures CryptSetup Befehls zu schauen und ggf. zu Updaten, denn auch wenn Ihr selbst keine Festplattenverschlüsslung benutzt, es reicht, daß das Paket auf dem System installiert ist und jemand einen USB Stick einsteckt.

Kleine Anmerkung zur Lage

Falls Ihr die Red Hat Securityliste lest, ist Euch auch aufgefallen, daß da heute ein ganzes Rudel (70+) Sicherheitsadvisories gekommen sind und die Bugs größtenteils Nummern aus 2018 und 2019 tragen? Ich glaube, da ist etwas arg schief gelaufen bei Red Hat.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Düstere Zeiten kommen auf Kim Schmitz alias Kim Dotcom zu, denn Neuseeland ist der Meinung Ihn in die USA ausliefern zu dürfen.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Kim Schmitz, der laut Aussagen von CCC Mitgliedern als Möchtegernhacker allen auf den Sack gegangen ist, sich auf einer spektakulären Flucht dilettantisch fangen lies und dann erst im Security Beraterbusiness durchfiel, um doch noch (illegal) Geld zu verdienen, in dem er und seine Gang MegaUpload ins Leben riefen, wo hauptsächlich Raubkopien zum beschleunigten Download angeboten wurden, darf jetzt nach 8 Jahren Auslieferungsprozess in die USA überstellt werden, wo er bestenfalls als gertenschlankes Skelett wieder aus dem Knast kommen dürfte.

Das Manager-Magazin beschrieb in nach seiner Flucht mal so: „Kim Schmitz, der schwergewichtige Exot unter den Dotcom-Blendern, hat sich aus dem Staub gemacht.“ 🙂

Wie man so lesen kann, hatten da wohl dunkle Münchner Geldverleiher einen nicht unerheblichen Anteil dran, als sie Ihr Geld von Kim alias Kimble haben wollten. Das ist aber auch eine echt blöde Idee der Lokalmafia einen sechstelligen Betrag mit einer 6 vorn zu schulden und sich dann abzusetzen 😉

FBI vor der Villa von Kim Schmitz 2012

Das Portal TorrentFreak berichtete vor 12h, daß sich die Richter in seinem Prozess wegen Copyright-Verstößen an die USA ausgeliefert werden darf. Ihm bleibt jetzt nur noch eine Anrufung auf Neubegutachtung einer Entscheidung der unteren Instanzen zu, weil die die Einwände der Verteidiger als Prozessbehinderung abgelehnt hatten, was der Oberste Gerichtshof anscheinend anders sieht. Zu dem Prozess war es ursprünglich gekommen, weil die USA einen Haftbefehl in Neuseeland u.a. durch eigene FBI Kräfte hat vollstrecken lassen, um Kim und Gang den Prozess wegen Geldwäsche und Copyright-Verstößen auf Ihrer Mega-Upload Plattform zu machen.

Damals dachte die USA noch, sie könnte Kim und seine 3 Mitangeklagten direkt mitnehmen, was die Neuseeländer etwas anders sahen und das zu einem Megaprozess führte, der von 2012 bis heute lief. Mit immer neuen Tricks versuchten die Anwälte zu beweisen, daß das was die Angeklagten getan hatten, in Neuseeland gar kein Verbrechen wäre, denn das Auslieferungsabkommen mit den USA sieht vor, daß es nur für Straftaten anwendbar ist, die auch in Neuseeland eine Straftat sind. Hat aber alles nichts genutzt, außer, daß man ihn schon einmal nicht wegen Geldwäsche ausliefern kann, den Straftatbestand gibt es in Neuseeland scheinbar gar nicht.

Das fragliche Geschäftsmodell lief so:

Kim & Gang stellten eine Uploadplattform zur Verfügung, wo sich jeder kostenlos anmelden konnte, um Sachen hochzuladen, damit andere sie downloaden konnten. Eine halb-öffentliche Cloud würde man das wohl heute nennen, im Prinzip Youtube ohne Livestreaming und Kontrolle. Kim & Gang argumentierten damit, daß sie als Provider von der Haftung für Kundeninhalte befreit wären. Das Geld wurde mit Abos verdient, welche die klägliche Downloadrate nicht angemeldeter Nutzer in High-Speed-Zugänge umgewandelt hat. d.b. die Downloader haben die Plattform finanziert, weil sie nicht solange auf Inhalte warten wollten. Das klappt natürlich nur, wenn man dort etwas downloaden kann, daß einen wirklich interessiert z.B. Musik, Spielfilme und Serien in HQ, Bücher, Cracksoftware usw. Dafür muß dieser Inhalt natürlich vorhanden sein, sonst kommt ja keiner zum Downloaden 😉 Daher war der Upload kostenlos möglich und nur der Download limitiert.

Das FBI ist der Meinung schlüssig beweisen zu können, daß Kim & Gang Kriminelle dafür bezahlt haben, Ihre Inhalte auf Mega-Upload hochzuladen, damit die Kunden einen Grund haben, weiter die Abos zu zahlen oder damit sie überhaupt erst zur Plattform kommen. Deswegen kam es zum Prozess, denn dies ist von keinem Provider-Privilege gedeckt, das ich kenne 😉 Da es bei Mega-Upload also um ein kriminelles Unternehmen ging, ist aus Sicht der USA  alles was da an Geld geflossen ist, Geldwäsche bzw. Wire-Fraud (alle Straftaten die über Metalldrähte abgewickelt werden: Telefon & Internet ). Das wird dort empfindlich bestraft und da darf sich Kim jetzt schon mal drauf freuen, denn einmal an die USA ausgeliefert kann ihn Neuseeland nicht mehr beschützen. Damit dürfte die Dauerparty wohl bald zu ende sein.

Quellen:

https://www.manager-magazin.de/unternehmen/karriere/a-176329.html

Kim Dotcom Can Be Extradited To The United States, Subject to Judicial Review

WOW: Battle.net Client erlaubt Privilegien Eskalation

Der Battle.net Client von Blizzard hat ein kleines Problem..nein, nein, nicht die Maskenpflicht im Spiel. Das hier:

WOW: Battle.net Client erlaubt Privilegien Eskalation

Local Privilege Escalation wegen Insecure File Permissions:

https://packetstormsecurity.com/files/159533/battlenet127112428-insecure.txt

Meint, ein „Angreifer“ kann das Battle.net.exe durch etwas anderes ersetzen und dann durch einen Neustart, so es denn automatisch beim Start von Windows mitstarten soll, wird das ersetzte Programm mit erweiterten Rechten ausgeführt und dann passiert, was immer der Angreifer wollte.

Zitat aus der Exploitmeldung:

#6. Reboot the Computer

C:\Program Files (x86)\Battle.net> shutdown /r

#7. Login & look at that new Admin

C:\Users\lowpriv>net user placebo | findstr /i „Membership Name“ | findstr /v „Full“

User name placebo
Local Group Memberships *Administrators *Users
Global Group memberships *None

So macht angreifen Spaß, wenn man ohne Absturz des Systems einfach Admin werden kann 🙂

35 Jahre Free Software Foundation

Ein bisschen makaber ist es ja dann doch, die 35 Jahre Free Software Foundation Filmproduktion.

35 Jahre Free Software Foundation

Die FSF hat zum 35. Geburtstag eine eigene Filmproduktion, oder sagen wir besser, einen keinen Werbeclip erzeugt: Rewind – An animated Movie

Ob man da ausgerechnet bei Covid-19 Situation ansetzen mußte, ich weiß nicht, zu mal die Prämisse ohnehin nicht ganz stimmt. Während eines Notstands können Regierungen alle Ressourcen beschlagnahmen und einsetzen. Da wäre es dann egal, ob closed Sourcecode oder offener Sourcecode, Anpassungen um schneller ein Heilmittel zu bekommen, wäre also immer möglich.

John McAffee am Flughafen in Barcelona verhaftet

Wie gerade bekannt wurde, ist der Gründer von McAffee Antivirus, John McAffee am Wochenende am Flughafen von Barcelona verhaftet worden. Die Steuerbehörden in den USA hatten einen Haftbefehl ausgestellt, weil McAffee seit 9 Jahren, nach eigenem Bekunden, keine Steuererklärung mehr abgegeben hatte.

Außerdem wird er verdächtigt, Vermögen in Immobilien, einer Yacht, geheimen Bankkonten und (vermutlich) BitCoins verheimlicht zu haben.

Vor einige Jahren (2012) war McAffee mit einer spektakulären Flucht via Boot aus Belize in Mittelamerika in den Schlagzeilen, als sein Nachbar Tod aufgefunden wurde und er tatverdächtig war. Es wäre eine „Verschwörung der Regierung“ gewesen, sagte er damals.

Unerklärlicher Zählfehler in Android Mailprogramm

Schock am Morgen: Unerklärlicher Zählfehler in Android Mailprogramm

Schock in der Morgenstunde. Beim Sichten der Statusmails gab es Diskrepanzen zwischen zwei Anzeigen. Wenn so etwas in einem Emailprogramm auftritt, ist meistens was ganz komisches los. Da muß man dann checken, ob man überhaupt alles sieht, oder ob einige der Emails nie da waren.

Android Emailprogramm hat sich verzähltIch habe dann von Hand nachgezählt, die Anzeige Rechts (23) hatte Recht, die Linke (19) hatte sich verzählt.

Wie man dabei einen Bug in ein Emailprogramm basteln kann, entzieht sich mir aber gründlich 😀

Leider wird das Programm nicht mehr weiterentwickelt, auf einen Bugfix hofft man also vergeblich, zumindest für diese Androidversion.

Nvidia: Applaus *klatsch* :(

Nvidia hat mal wieder den IT-Security Vogel abgeschossen: CVE‑2020‑5979 – Privilege Escalation im Configtool

Nvidia: Applaus *klatsch* 🙁

Nvidia Entwickler geben in Ihrem September Patch bekannt, daß sie es mal wieder geschafft haben: CVE Score 7.8

CVE‑2020‑5979:

NVIDIA Display Driver contains a vulnerability in the Control Panel component in which a user is presented with a dialog box for input by a high-privilege process, which may lead to escalation of privileges.

Neben einem Dutzend anderer Schwachstellen für verschiedene Windows Komponenten von Nvidia, sticht die obige Schwachstelle heraus. Da hat der Entwickler, der die Funktion eingebaut hat, aber mal so richtig geschlafen. Muß man sich ungefähr so vorstellen (rein vom Prinzip her):

uibutton.onclick() {

System.shell.exec(„setuidprocess –commonopts=whatyoulike –target=“ + ui.getUserInputByTextRequest(„Pls enter the target type of you gpu“) );

}

Wenn ich einen Prozess der privilegiert ist, Argumente übergeben muß, dann in einer Art und Weise, daß ein „Angreifer“ nicht einfach seine Wunsch Argumente eingeben kann und die dann ungefiltert z.B. in einer Shell übernommen werden. In der Realität dieses Bugs wird es vermutlich nicht sooo trivial sein. Leider ist noch nichts über die Schwachstelle zu finden, außer dem, was Nvidia da schreibt, deswegen ist es der Phantasie des Lesers überlassen, sich ein beliebiges passendes Horrorszenario auszudenken 😉

Im Beispiel oben könnte das so aussehen:

System.shell.exec(„setuidprocess –commonopts=whatyoulike –target=vgpu;rm -rf /“);

Berühmt sind solche Injection Attacken im Zusammenhang mit SQL Datenbanken. Wenn Argumente aus dem Netz einfach ungefiltert übernommen werden ist das per se eine schlechte Idee. Da man eh derzeit nur spekulieren kann, wie und was da abläuft, sei Euch hiermit geraten ein Update für Nvidia-Komponenten zu starten, sobald Ihr mit Lesen fertig sein 😉

CoronaChroniken: CVE für die Corona API von iOS und Android

Liebe Maskierte,

die meisten Leser, die wegen Corona hier sind, werden CVE-Nummern nicht kennen. Diese werden in der IT vergeben, wenn eine Sicherheitslücke gefunden wurde. Zu der Nummer gehört dann auch eine Risikoeinschätzung. Für die Corona-Melde-Api in iOS und Android wurde so eine Nummer beantragt, vergeben und bewertet.

CoronaChroniken: CVE für die Corona API von iOS und Android

Letzte Nacht erreichte uns auf der Full-Disclosure Mailingliste eine entsprechende Meldung von Dirk-Wilhelm van Gulik:

CVE-2020-24721: (Corona) Exposure Notifications API for Apple iOS and Google Android risk of coercion/data leakage post notification  / CVSS v3.1 score: 5.9

Die Schwachstellen wurden als „Mangel zum Schutz gegen Zwang“ und ein Informationsleck beschrieben, kurz zusammen gefasst: Selbst wenn die App gelöscht wird, wird in dem Teil des Betriebssystems in dem die ganze Technik für das Senden und Empfangen der Bluetooth untergebracht ist, der letzte Zustand gespeichert, weil die Anwendung darauf keinen Zugriff hat. Das bedeutet, ist die App einmal drauf und hat aktiv Daten gesendet oder empfangen, kann man das letzte Ergebnis nicht mehr vom Handy löschen. Damit kann ich nicht verhindern, daß jemand z.b. meine Aussendung „Ich bin ein Coronainfizierter“ aus dem (beschlagnahmten) Handy auslesen kann. Gleiches gilt für den Umstand, das man einen Hinweis eingeblendet bekommen hat, daß man einem Infizierten begegnet ist. Das widerspricht natürlich dem Gedanken, daß man seinem Handy trauen kann.

Bei Android und iOS gibt es implementierungsabhängige Abweichungen, aber im Prinzip leiden beide unter dem gleichen Problem. Eine Lösung, außer niemals die Apps zu benutzen, gibt es leider für Euch nicht, denn nur Google und Apple können das Problem lösen.

An die 16 Millionen die es schon installiert haben: Ihr seid gewarnt worden! Selbst Schuld.

Verursacht wird dies, weil das Handy immer die gleichen Identifikationsmerkmale erzeugt, die müssen ja schliesslich eindeutig sein, und dies natürlich auch dann tut, wenn jemand anders die App wieder installiert. Die Datensammlung scheint ~30 Tage lang zu laufen, also erst nach dieser Zeit kann man sicher sein, daß zumindest keine „Sie sind einem Coronainfizierten begegnet“ Meldungen mehr kommen. Das andere Problem ist nicht lösbar, außer die Daten werden im internen Speicher des OS gelöscht. Da hilft dann nur der Factory-Reset.

Nun ist das bereits im Januar bekannt geworden, weil es ein Systemimmanentes Problem ist (sieht Zeitstrahl unten). Warum die Apps trotzdem gemacht wurden und Google und Apple nichts dagegen getan haben, überlasse ich mal Eurer Fantasie, sofern Ihr welche habt. Auch wenn die Hinweise aus Holland kommen, die in den Handies verbauten Frameworks sind immer die gleichen, also gilt das auch für unsere deutsche App.

Glücklicherweise, wurde die App ist ja laut Amtsärzten derzeit als zweckfrei angesehen, also löscht die jetzt einfach und hofft darauf, daß Ihr in den nächsten 30 Tagen nicht von jemandem gezwungen werdet, sie erneut zu installieren.

Für Interessierte:

Variations of this flaw have been documented by the DP3T team in their academic paper. It was found it the Apple/Google implementations during the build of the dutch ‚Corona Melder‘ app (https://github.com/minvws).

2020-01-18 first known description of this class of issues
2020-04-03 first paper by DP3T team published.
2020-05-06 confirmation of this issue with Google
2020-05-07 confirmation of this issue with Apple
2020-08-13 final written/formal questions sent on request (#115 and 115.bis) as a vulnerability report.
2020-08-13 confirmation vendor. 2020-08-27 CVE issues by MITRE
2020-09-13 Request vendor to provide CVE/start FD.
2020-09-15 Versions under embargo sent to google/apple. Confirmation of receipt and reference # for both received.
2020-09-15 Full disclosure timeline setting process started.
2020-09-22 Reminder to google/apple & request to submit their preferred timeline/disclosure approach.
2020-09-25 Deadline to provide timeline preferences and feedback passed.
2020-09-29 Vendor informed that public disclosure is imminent.

 

 

Fedora: systemd-resolved Diskussion eskaliert

Wow, das habe ich nicht kommen sehen: Leonard Pöttering macht sich einen Feind fürs Leben, auf der Fedora-Devel Mailingliste 😐

Fedora: systemd-resolved Diskussion eskaliert

Das die Diskussion so schnell in einen Developerkrieg eskaliert, hätte ich nie für möglich gehalten:

„As we share the same employer, I encourage you to escalate my „derogatory behaviour“ to our magenement.

I did not read the rest of your email. I will not read or respond to further emails from you on mailing lists.“ (Paul Wouters, 29.9.2020 18:56 Uhr)

zu Deutsch:

„Da wir denselben Arbeitgeber haben, ermutige ich Sie, meine „abfälliges Verhalten“ unserem Arbeitgeber zu melden.

Den Rest Ihrer E-Mail habe ich nicht gelesen. Ich werde sie weder lesen, noch auf weitere E-Mails von Ihnen auf Mailinglisten antworten.“

Herr Pöttering schrieb dies vorher an die Mailingliste:

„“Custom“ is in the eye of the beholder. It appears to me you mean that in a derogatory way.

I mean, given that Ubuntu has been enabling systemd-resolved since quite some time by default I have the suspicion our codebase is more often deployed IRL than the ones you listed? I mean, maybe I am wrong, but it’s certainly not that this is exotic stuff as you imply.

I have the suspicion this is a territorial thing, no? It feels as if you believe that DNS clients that people wo are not core members of the DNS community are inherently a bad thing, and should go away, and leave the real work to the people who actually know how things work, right? I got that kind of behaviour once before when people told us to just leave service management to the real holy men of UNIX.“ (Leonard Pöttering, 29.9.2020 18:18 Uhr)

zu Deutsch:

„Kundenspezifisch“ liegt im Auge des Betrachters. Mir deucht, Sie meinen daß in abfälliger Weise.

Ich meine, angesichts der Tatsache, dass Ubuntu seit geraumer Zeit standardmäßig systemd-resolved aktiviert hat, habe ich den Verdacht daß unsere Codebasis häufiger IRL eingesetzt wird als die, die Sie aufgelistet haben? Ich meine, vielleicht irre ich mich, aber es ist sicher nicht so, dass dies so exotisch ist wie Sie andeuten.

Ich habe den Verdacht, dass dies eine territoriale Angelegenheit ist, nicht wahr? Es fühlt sich an, als ob Sie glauben, dass DNS-Clients, von Personen die keine Kernmitglieder der DNS-Kern-Gemeinschaft sind, von Natur aus eine schlechte Sache sind und verschwinden sollten, und überlassen Sie die eigentliche Arbeit den Menschen, die tatsächlich wissen, wie die Dinge funktionieren, richtig? Ich habe diese Art von Verhalten schon einmal erlebt, als man uns sagte „Überlassen Sie die Verwaltung der Dienste einfach den wahren heiligen Männern von UNIX“.“

Irgendwie kann ich beiden zustimmen, auf der einen Seite gibts extra eine teuer bezahlte Arbeitsgruppe bei der IETF, die Sachen entwicklen sollte, auf der anderen Seite kommen die nicht zu potte ( schreibt Pöttering einen Absatz später ). Trotzdem sehe ich das eher so, daß allein schon wegen fehlendem DNSSEC und dem Default Fallback zu Cloudflare und Google DNS-Servern, systemd-resolved nicht einfach so eingesetzt werden kann.

Angebot

Viele der Probleme, die resolved lösen soll, sind eherlich gesagt Luxusprobleme, die sich mit ein klein wenig Hirnschmalz lösen lassen. Bis auf ganz exotische Szenarien, wo jemand für alles, was er per Interface 1 erreichen kann, DNS 1und2  benutzen will und für Interface 2 dann DNS 3und4, reicht das. Wer ein echt komplexes Setup hat, mit VPN Tunneln durch VPN Tunnel der darf mir gern einen Leserbrief schicken und das mal darstellen. Dann schaue ich mir das gern mal an und gucke, ob das nicht einfacher geht. Herrn Pöttering habe ich auch um ein Beispiel angemailt, mal sehen ob eins kommt.