Heartbleed – kein Ende und dann auch noch Opensuse 12.2

Das ganze Thema "Heartbleed" hält einen aus verschiedenen Gründen in Atem:

Einerseits, weil man nicht weiß, welche Systeme von Online-Diensten, die aktuell in einem Heartbleed-Test als OK gekennzeichnet werden, eigentlich wann genau vom Provider auf den momentan sichereren Stand gebracht wurden. Vielleicht geschah das erst gestern - und vorher war der Serverdienst über Monate hackbar? Auf Webservern mit CM-Systemen, Shops etc. treten die Folgen vielleicht erst künftig zu Tage ....

Es ist deshalb aus meiner Sicht schon aus Vorsichtsgründen erforderlich, alle Passwörter von solchen Diensten, bei denen SSL eine Rolle spielte, schleunigst zu ändern. Die Provider werden kaum in Gänze zugebe, dass sie auch betroffen waren. Bei gehosteten Blogs, CM-Diensten, Shops, ... sind zudem umfangreichere Prüfungen auf potentielle ingeschleuste Schadcodes erforderlich. Die Heartbleed-Lücke zu stopfen ist aus meiner Sicht wirklich nur ein erster Schritt zur Schadensbegrenzung.

Der andere Grund sind die im Kundenauftrag verwalteten Server. Was Opensuse anbelangt:

Die betroffenen OpenSSL-Bibliotheken sind auf Opensuse 12.2, 12.3, 13.1 upzudaten, SSL-Zertifikate (Server- wie ggf. Client-Zertifikate) und Passwörter müssen geändert werden. Und der Kunde ist davon in Kenntnis zusetzen. Im Falle von Opensuse 12.3 und 13.1 ist wenigstens das Installieren oder Überinstallieren der aktuellen SSL-RPMs noch auf einfache Weise möglich.

Achtung: Bei den aktualisierten Opensuee-Paket-Versionen für SSL handelt es sich um gepatchte "e"-Versionen und keine "g"-Versionen der Openssl-Bibliotheken/Pakete. Also nicht dadurch verwirren lassen, dass man überall - zuletzt in Mails diverser Provider - liest, dass man unbedingt auf die g-Version upgraden müsse ! Stimmt nicht ! Eine gepatchte frühere Version tut es auch. Nicht nicht vergessen, Apache neu zu starten und danach erneut auf die Heartbleed-Schwäche zu testen!

z.B. über folgende Seite: http://filippo.io/Heartbleed/

Sonderfall Opensuse 12.2:
Leider kann man sich nicht immer aussuchen, wann die eigenen Kunden Geld in die Hand nehmen, um ihre (V-) Server upgraden zu lassen. Das Problem sind auch ein wenig die Provider, wie z.B. Strato. Die hinken mit ihren Angeboten zu virtuellen Servern bei den OS-Paketen dem Entwicklungsstand (vielleicht aus guten Gründen) immer ein ganzes Stück hinterher. V-Server bei Strato wurden z.B. noch vor einem Jahr mit Opensuse 12.2 angeboten. Nach 2 neuen Releases fällt die alte OS-Version aber aus der Update-Wartung durch Suse raus. So kann man mit einem gehosteten V-Server halt schon nach deutlich weniger als 18 Monaten aus dem Wartungsintervall herausfallen. Opensuse 12.2 wird z.B. seit Januar nicht mehr mit neuen Update-Paketen versorgt.

Was kann man nun tun, wenn man noch einen solchen "veralteten" Server verwalten muss?

Zunächst mal versuchen, dem Kunden anhand von "Heartbleed" klarmachen, wie wichtig eine relativ zeitnahe Upgrade- und Maintenance-Politik ist. Es gibt ja auf einem systematisch veraltenden System vermutlich noch viel mehr Schwachstellen als so ein Paradebeispiel wie SSL-Heartbleed. Darunter natürlich auch solche, die erst dann aufgedeckt werden, wenn es keine Updates mehr gibt.

Bekommt man vom Kunden nach einem Überzeugungsgespräch die Zeit und das Geld, so ist zunächst ein Upgrade von 12.2 auf 12.3 am sinnvollsten. Dieser Upgrade funktioniert nach meinen eigenen Erfahrungen relativ schmerzfrei. Ein Upgrade 12.2/12.3 auf 13.1 ist dagegen deutlich schwieriger, da man sich dabei mit einer Rekonfiguration des Apache-Servers herumschlagen muss, die wegen des Umstiegs der aktuellen Apache2 2.4-Version leider unumgänglich wird. Mich hat das damals (Nov. 2013) zumindest einiges an Zeit und Recherchen gekostet, bis die Webserver auf den upgegradeten 13.1-Systemen wieder anstandslos liefen.

Was aber, wenn man aber kein Geld bekommt, um ein Upgrade durchzuführen?
Nun, dann führt wohl kein Weg an einer eigenen Kompilation des neuen SSL-Paketes aus den Sources inkl. Patch vorbei. Hierfür bietet sich ein Download der gepatchten aktuellen Source-Versionen für Opensuse 12.3 an, die dann gegen Opensuse 12.2 kompiliert werden müssen. Das ist der sicherste und korrekteste Weg. Er funktioniert und er bewahrt einen auch vor evtl. Pfad-Problemen. Die offiziellen Sources von OpenSSL und die zugehörigen Config/Make-Dateien gehen von einem anderen Verzeichnislayout als Opensuse aus.

Ein aus Sicherheitsaspekten deutlich problematischerer Weg besteht darin, Pakete zu nutzen, die von Dritten erstellt wurden. Das ist nicht nur eine Frage des Vertrauens. Programmware aus "privaten" Quell-Repositories zu installieren, ist immer ein potentielles Sicherheitsproblem und erfordert mindestens einen vorherigen Vergleich des (angeblich) verwendeten Sourcecodes gegenüber offiziellen Quellen und weitere nachfolgende Tests. Bei dem Zeitaufwand kann man dann auch schon gleich selbst kompilieren. Na ja, ....

Jedenfalls soll nicht unerwähnt bleiben, dass es unter
http://download.opensuse.org/repositories/home:/
Repositories gibt, die eine gepatchte 12.3 OpenSSL-Paketversion anbieten, die für Opensuse 12.2 kompiliert wurde.

Konkrete Hinweise findet man in
http://forums.opensuse.org/showthread.php/496947-opensuse-12-2-and-ssh-heartbleed/page3

Aber hier muss jeder selber wissen, wie er vorgeht. Bei allem Fluchen über die aktuellen Probleme:

  • Gut finde ich, dass die Sicherheitslücke gefunden wurde.
  • Gut finde ich auch, dass es Leute in der Opensource Community gibt, die sich regelmäßig um Sicherheit kümmern. Denn Lücken durch systematische Tests zu finden, erfordert Zeit und Aufwand. Und für den entsprechenden Einsatz sollte man den Leuten danken.
  • Noch besser finde ich, dass man kurzfristig mit Tipps versorgt wird, was man tun sollte und kann, um die Lücke zu schließen.

Schlecht finde ich nach der aktuellen Erfahrung die kurzen Wartungszyklen der Opensuse-Versionen. Das zeigt, dass die Community zwischenzeitlich immer mal wieder Long Term-Versionen (z.B. mit 3 Jahren Update-Versorgung) bereitstellen sollte.

Ansonsten bleibt mir nur, viel Erfolg beim Prüfen von Logs, Datenbankeinträgen etc. auf den Servern zu wünschen, die der OpenSSL-Verwundbarkeit ausgesetzt waren. Denn SSL setzt man ja z.B. ein, wenn Zugänge und Datentransfers für CM-Systeme etc. abgesichert werden sollten. Wurden die gehackt, so ....

Nachtrag 29.04.2012 :
Die in den vergangenen zwei Wochen in der dt. Presse erschienen Artikel zu Thema Heartbleed finde ich zum Teil unerträglich. Klar, es war ja zu erwarten, dass die Vertreter kommerzieller Closed Source Firmen das zum Anlass nehmen, Open Source zu kritisieren. Aber muss die Presse so unkritisch auf dieser Welle mitschwimmen? Welche Scheinheiligkeit! Als ob kommerzielle Interessen Sicherheit verbessern würden und als ob Entwickler bei kommerziellen Firmen besser und systematischer arbeiten würden als im Opensource Bereich. Nach meinen eigenen Erfahrungen kann man das keineswegs als grundsätzliche Feststellung treffen.
Tja, und man muss eigentlich lange nach Beispielen für Sicherheitsprobleme im kommerziellen Umfeld suchen? Spontan fallen mir ein: Die vielen, fast kontinuierlichen Probleme mit Java in den letzten Jahren, deren sich der kommerzielle Gigant Oracle nur schleppend annahm. Die laufenden Probleme mit dem MS IE und speziell die aktuellen Probleme mit dem MS IE 10. Oder auch: Die gezielte Entkernung von Linux in Bezug auf alle Sicherheitsaspekte bei der frühen Entwicklung von Android durch Google. Oder das Hacking von Linux Servern Anfang 2013, das seinen Ausgangspunkt allerdings in massiven Fehlern von MS Windows Frontend-Systemen hatte ...
Nein, es gibt nun wirklich keinen kausalen Zusammenhang der Art : kommerzielle Firma, Closed Source = Sicherheit. Allen Kritikern sei gesagt: Kehrt vor euren eigenen Haustür.

Wann tritt jemand das heutige Pulseaudio endlich in die Tonne für Fehlversuche?

Pulseaudio (PA) geht mir nun zum x-ten Male auf die Nerven und irgendwie muss ich meinen Frust mal loswerden. Ich sollte dazu sagen, dass ich in alten Zeiten eine Weile mit Jack gearbeitet habe, mich aber in den Untiefen der vielschichtigen aktuellen Sound-Architektur(en) nicht mehr auskenne und auch nicht auskennen will. Ich will Sound als Anwender unter Linux nach Bedarf hören, vom Browser, von Playern, von der CD und aus anderen Quellen. Wo sinnvoll will ich Surround-Sound transportiert bekommen und auch einen Upmix von Stereo auf 5.1 oder 7.1 Mehrkanal-Ton. Ich möchte gerne einen zentralen Equalizer für den Desktop (den z.B. KDE mangels Interesse der Entwickler verweigert). Ich möchte die Möglichkeiten der Sound-Karte ausnutzen und Input- wie Output-Kanäle getrennt regeln und auch Ton-Aufnahmen per Micro machen. Und Skype soll laufen.

Immer mal wieder richte ich ja Linux-Laptop- und Linux-Desktop-Systeme ein. Für den Eigenbedarf, aber auch mal für Bekannte oder Kunden. Die wollen eigentlich genau dasselbe - also das, was sie unter Windows auch bekommen. Und immer wieder gibt es bei der Systemeinrichtung einen gemeinsamen Schritt, zu dem ich regelmäßig gezwungen bin - nämlich der vollständigen Deinstallation von Pulseaudio [PA] und zugehöriger Tools. Einzige Ausnahme - und auch die nur manchmal: Laptops mit einfachen, sehr beschränkten Onboard-Soundkarten auf Basis von Standard-Massen-Chips.

Vielleicht war es ja mal eine gute Idee, zwischen Soundquellen (Applikationen) und die Hardwaretreiber einen eigenen Layer einzuschalten, der noch dazu netzwerkfähig ist. Aber das Ergebnis - nämlich PA - ist auf dem heutigen Stand für den normalen Anwender schlicht eine Katastrophe. Was immer PA angeblich an supertollen Dingen kann, die ALSA oder Jack in ihren jeweiligen Welten nicht können. Als Otto Normalverbraucher merke ich erstmal die elementaren Fehler und Unzulänglichkeiten. Vor dem Einsatz eines netzwerkweit arbeitenden Soundservers und vieler Spezialanwendungen kommen eben viel, viel einfachere Ansprüche des normalen Anwenders und erst recht des potentiellen Umsteigers von Windows :

Zunächst möchte man mal auf dem jeweiligen Desktop (u.a. KDE) etwas hören und dabei die Regelmöglichkeiten einer Soundkarte so gut ausnutzen können, wie es die aktuellen Treiber (meist Alsa-Libs) halt zulassen.

Hat sich PA in diesem Sinne bewährt? Meiner eigenen Erfahrung nach überhaupt nicht. Vor allem nicht für komplexere Soundkarten. Meine zusammenfassende Meinung - und die beruht auf mehrjährigen Erfahrungen mit vielen unterschiedlichen Systemen und Soundkarten - ist:

Es gibt kaum ein sog. "Werkzeug", das in den letzten Jahren in den meisten Linux-Distributionen eingeführt wurde und das so sehr für eine Entmündigung des Anwenders und durch eben diesen nicht kontrollierbare Folgeprobleme steht wie "Pulseaudio" (PA). Man braucht hierzu nur mal das Internet zu durchsuchen. Siehe eine kleine Liste am Ende des Artikels.

Eigene schlechte Erfahrungen mit PA über viele Installationen hinweg - seit es PA gibt

Meine Meinung stützt sich auf folgende regelmäßige Erfahrungen (meist unter Opensuse und KDE, aber auch schon mal unter Debian und Ubuntu):

  • PA war und ist buggy - es schafft aus Sicht des Endanwenders in der Regel mehr Probleme, als das es welche löst.
  • PA blendet in der Standardinstallation gängiger Distributionen die oft vielfältigen Einstell-Möglichkeiten vieler Audiokarten brutalst möglich aus. Aus vielen Reglern werden oft genau einer oder zwei. Ein normaler Anwender hat i.d.R. keine Chance, die z.T. massiven Einschränkungen zu umgehen. Warum das so sein muss, weiß wohl nur der PA-Erfinder. Beim unbedarften Anwender bleibt aufgrund von PA bei gleicher Soundkarte gegenüber einer Windows-Umgebung meist der Eindruck eines Steinzeit-Soundsystems zurück. (Was allein an PA liegt, mit Plain Alsa sieht die Welt nämlich meist ganz anders aus; s.u.)
  • PA ist in seinem Standardverhalten (gekoppelte Lautstärke-Regelungen verschiedener Ein- und Ausgangskanäle) für den Standardanwender nicht nachvollziehbar und daher auch nicht sinnvoll kontrollierbar.
  • Im Aufnahmebereich fehlen für manche Soundkarten wichtige Regler; manchmal treten gegenüber einer Plain Alsa-Installation bei Aufnahmen unmotivierte Übersteuerungen auf.
  • Auch durch den Einsatz des PA-Mixers "pavucontrol" (ebenfalls buggy) und seiner Möglichkeiten wird man die Kopplungseffekte der Lautstärkeregelung bei vielen Mehrkanal-Audiokarten nicht los oder erhält. In vielen Fällen erhält man nach der gewünschten Einstellung der Kanaltrennung sogar ein völlig fehlerhaftes bis unkontrollierbares Verhalten bei der Lautstärkeregelung. (Ein Beispiel für eine Xonar D2X: Regelt man einen Kanal nach oben, werden plötzlich alle Kanäle gleichmäßig leiser. Danach geht die Lautstärkeregelung gar nicht mehr vernünftig. Ähnliches ist mir auch bei diversen Audigy-Karten und auch Realtek-Chips passiert - alles im Gegensatz zu Plain Alsa)
  • Manche Fehler der letzten Zeit - z.B. automatisches Springen der Lautstärke auf 100% bei KDE-Systemsoundtests - führten/führen zur Gefahr der Zerstörung von über externe Verstärker angeschlossene Lautsprecheranlagen.
  • PA führt bei einigen Soundkarten zu einer fehlerhaften Ansteuerung und zu dauerhaften knackenden Nebengeräuschen. Diese verschwinden oft bei einer reinen Alsa Installation
  • PA führt immer wieder zu massiven Problemen mit Anwendungen wie Skype - und manchmal zu unkontrollierbaren Dauergeräuschen schon beim Starten von Skype oder aber bei Versuchen im Audio-Einstellungs-Bereich. Auch hier wiederim Gegensatz zu einer reinen Alsa Installation.
  • Einziger Pluspunkt der PA-Tool-Palette ist aus meiner Sicht der LADSPA nutzende Equalizer, der dann unter PA naturgemäß systemweit wirkt. Aber auch hier gibt es manchmal hörbare Latenzprobleme.

Ursprünglich mal zur Vereinheitlichung der Benutzerschnittstelle gegenüber Sound-Systemen wie ALSA und dem bei KDE darüber liegenden "phonon" gedacht, zwingt PA dem User gegenüber einer reinen Alsa-Installation Einschränkungen und "Effekte" auf, die mit Vernunft nicht nachvollziehbar sind. Ich habe mich wirklich immer wieder bemüht, mich mit PA anzufreunden. Manchmal stundenlang. Übrig geblieben sind über die Jahre hinweg genau zwei Laptops mit Allerwelts-Onboard-Soundkarten, bei denen ich PA manchmal sinnvoll nutzen kann, ohne mir Ärger einzuhandeln. Aber auch nicht ohne zusätzliche Tools wie "pavucontrol". Und selbst dann funktioniert nicht immer alles wie es soll: So schließt eine sinnvolle Nutzung von Skype die Anwendung von PA aus.

Dann gab es zwischenzeitlich auch richtig folgenschwere Bugs - u.a. im Zusammenspiel mit KDE. Vor einiger Zeit etwa das automatische Hochregeln der Lautstärke auf 100% nach dem ersten Anspielen von Systemsounds. Mit der Gefahr, seine Lautsprecher und das Verhältnis zu den Nachbarn zu ruinieren. Nicht weiter vertiefen will ich das gekoppelte Hochregeln von Volumecontrols sowohl für Multikanal Output-Devices wie gleichzeitig (!) auch für Input-Quellen. Den Schwachsinn wird man meist auch bei entsprechender Konfiguration von "pavucontrol" nicht los.

Plain Alsa - mehr als eine Alternative, wenn man nicht Sound im Netz verteilen will

Dagegen steht für den Normalanwender die Alternative einer Sound-Konfiguration unter Plain ALSA. Mein glasklares Ergebnis nach vielen Experimenten ist:

Eine Plain Alsa-Installation funktioniert für den Alltagsbedarf meist schon auf Anhieb relativ problemfrei. Selbst bei schwierigeren Fällen bringt einen ein wenig Einsatz und Konfigurationsversuche deutlich weiter als PA. In einer reinen Alsa-Umgebung entdeckt der unbedarfte User plötzlich, was man alles an seiner Soundkarte regeln kann, dass man Input- und Output-Pegel unabhängig adjustieren kann, dass das Aufnehmen problemfrei geht, dass Skype problemfrei funktioniert, etc.. Ich habe das immer wieder und für ein breites Spektrum an Soundkarten (diverse Creative Soundblaster-Varianten, Audigy (2/4)- und XFi-Karten, Terratec-USB-Karten, Realtek-Onboard-Chips [PCI, PCIe, USB] und Xonar-Karten) hinter mir. Zuletzt für eine Xfi-Titanium und eine rel. kostspielige Xonar D2X. Zu beiden und deren Konfiguration schreibe ich bald mal Artikel, wenn ich denn Zeit finden sollte.

Man muss die Reaktion auch Linux-skeptischer Nutzer halt auch mal erlebt haben, wenn man verstehen will, welchen Schaden PA bzgl. der Linux-Wahrnehmung anrichten kann. Nach einer Opensuse-Standardinstallation (mit PA) auf Desktops mit SB Live, Audigy, XFi, ...-Karten und einer Surround-Umgebung passiert immer das gleiche: Welche Enttäuschung - man kann ja nichts einstellen oder es funktioniert auch unter "pavucontrol" nichts wie erwartet. Der Anwender spürt Chaos...

Wenn man den Betroffenen nach einer De-Installation von PA unter Kmix dann plötzlich statt einem oder zwei Reglern eine umfassende Palette an funktionierenden Mehrkanal-Controls und Schaltern für spezielle Optionen der Soundkarten anbieten kann: Erstaunen und freudiges Kopfnicken.

audigy

xonar

(Zugegeben: bei der Xonar muss man noch ein wenig manuell für den "Stereo to 5.1/7.1"-Upmix tun). Die typische Frage, die dann vom künftigen Linux-Anwender kommt, ist: Warum ist denn die normale Alsa-Konfiguration dann nicht der primäre Standard der verschiedenen Linux-Distributionen? Tja, eine sehr gute Frage ...

Was sagen andere ?

Ich zitiere aus https://de.opensuse.org/YaST_Module_Sound
"Da die Soundsteuerung über PulseAudio oftmals noch für Probleme (ALSA, Phonon, GStreamer) sorgt, kann es nötig sein PulseAudio zu deaktivieren, ja manchmal sogar komplett zu deinstallieren, um bestehende Probleme zu lösen."

Ganz genau. Ergänzung aus meiner eigenen Erfahrung:

Die Deinstallation von PA ist fast immer nötig, um eine vernünftig funktionierende Sound-Umgebung unter Linux zu bekommen, wenn man eine etwas avanciertere Soundkarte hat.

Ich zitiere weiter aus http://www.tweakhound.com/2013/03/25/opensuse-12-3-tips-tricks-and-tweaks/ :

Disable or Uninstall Pulseaudio and reconfigure sound card:
Pulseaudio is and has been the source of many issues.
 
If you are having issues with sound you can:
1 – Check all PulsuAudio settings by installing pavucontrol.
Once installed it will be in the KMenu > Multimedia > Volume Control section.
Use it to configure your settings.
2 – Disable PulseAudio.
3 – Uninstall PulseAudio.
 
New users should simply disable PulseAudio:
Open YaST and go to > Hardware > Sound >
click the Other button and choose PulseAudio Configuration >
Uncheck Enable PulseAudio Support and click OK.

Hervorhebung durch mich. Und das Gleiche auch hier: http://steamcommunity.com/app/221410/discussions/0/864979883831623432/ :

"The only problem with openSUSE is audio. If they stayed with just ALSA most of their problems would be solved and they wouldn't need Wiki Pages telling how to get sound working on Skype/Steam."

Ganz genau ! PA und Teile seiner Tools tragen letztlich zur Abschreckung normaler Nutzer von Linux bei. PA bietet aus meiner Sicht gegenüber dem, was ein aktuelles ALSA heute nativ abliefert, keinen nennenswerten Vorteil - wenn man mal von netzwerkfähigen Sound-Servern absieht. Im Gegenteil wird der unbedarfte Anwender um vielfältige Bedien- und Einsatzmöglichkeiten seiner Soundkarten betrogen.

Opensuse und KDE: Löst euch endlich von PA - oder lasst es komplett überarbeiten!

Es ist für mich als Anwender völlig unverständlich, dass sich KDE so an PA klammert und nicht endlich selbst die wenigen Lücken schließt, die z.B. bzgl. eines systemweiten Equalizers bestehen. Statt dessen klammert man sich an ein fehlerhaftes, für den Anwender enervierendes PA-Toolset.

Genauso schlimm verhalten sich die Distributionen wie Opensuse oder Ubuntu, die PA standardmäßig installieren. So hat Opensuse eine vorgesehene KDE-Einstellmöglichkeit für die relative Lautstärke von Systemsounds entfernt - weil der KDE-Regler unter PA nicht wirkt und es unter "pavucontrol" - das der normale Benutzer nicht mal kennt und das im Standard nicht mitinstalliert wird - einen Ersatzregler gibt. Interessanterweise musste ich durch Experimente vor kurzem mühsam lernen, dass der ursprüngliche KDE-Regler unter einer reinen Alsa-Installation sehr wohl seine Wirkung entfaltet.

Liebe Leute von Opensuse: Nur weil der PA-Erfinder und Entwickler von Red Hat bezahlt wird, ist PA für den Endanwender noch lange nicht gut. Zumindest nicht im heutigen Zustand.

Wann kommt ihr endlich zur Einsicht und tretet das permanente Mega-Ärgernis PA endlich in die Tonne? Schreibt lieber eine ordentliche Einführung in die Konfigurationsmöglichkeiten von ALSA (oder Jack). Und bringt die KDE-Leute freundlich dazu, Phonon mit ein paar Zusatztools wie einem systemweiten Equalizer abzurunden. Dafür gibt es nämlich wirklich einen Bedarf. Aber ich lebe lieber ohne systemweiten Equalizer als mit dem Ärger und den Bugs, die man sich mit PA nun schon über Jahre regelmäßig einhandelt.

PA muss entweder grundlegend überarbeitet werden - oder es sollte künftig nur optional installierbar sein. Bis die Distributoren das begreifen gilt:
Nerven schonen, Pulseaudio komplett deinstallieren und danach endlich wieder guten (Surround-) Sound mit ALSA und der Soundkarte seiner Wahl hören.

Kleine Liste mit Links zu Problemen von und mit PA

http://www.hecticgeek.com/2012/01/how-to-remove-pulseaudio-use-alsa-ubuntu-linux/
http://www.ubuntugeek.com/fix-for-all-pulseaudio-related-issues.html
http://www.opensuse-forum.de/pulseaudio-problem-hardware-treiber/themen-f9/t8816-f11/
http://www.techrepublic.com/blog/linux-and-open-source/pulseaudio-an-achilles-heel-that-needs-repair/
http://www.tweakhound.com/2013/03/25/opensuse-12-3-tips-tricks-and-tweaks/
http://forums.fedoraforum.org/showthread.php?t=291978
http://askubuntu.com/questions/300838/pulseaudio-is-not-working-at-all
http://forums.opensuse.org/showthread.php/493766-SUSE-13-1-PulseAudio-not-working
http://www.opensuse-forum.de/kein-start-up-sound-skype-sound-mehr-nach-update-auf-13-1-anf%C3%A4nger-startprobleme/allgemeines-f17/t9561-f20/
http://steamcommunity.com/app/221410/discussions/0/864979883831623432/
http://linuxg.net/how-to-properly-replace-pulseaudio-with-alsa-on-crunchbag-linux-and-debian-squeeze/
https://coderwall.com/p/wajiaq

http://linuxhaters.blogspot.de/2008/10/pulse-my-audio.html
http://forums.fedoraforum.org/showthread.php?t=288682
https://bbs.archlinux.org/viewtopic.php?pid=1298297
https://bbs.archlinux.org/viewtopic.php?id=117822
http://linuxmusicians.com/viewtopic.php?f=27&t=847
http://forums.opensuse.org/showthread.php/468722-Pulseaudio-a-pain-in-the
http://www.linuxplanet.com/linuxplanet/tutorials/7130/1

And my latest absolute favourite
http://www.beastwithin.org/blogs/wolfheadofselfrepair/2013/07/pulseaudio-insidious-linux-malware