Security des tages

Benutzt hier jemand eine softwäjhr, die irgendetwas in einer SQLite-datenbank speichert?

Wer es nicht weiß: nahezu jeder benutzt eine solche softwäjhr. Das wird in den näxsten tagen eine menge zum aktualisieren geben, und nein, es ist nicht „nur“ der webbrauser. Bis ihr einen gefixten habt, verbietet dem webbrauser wenigstens die annahme von cookies aus drittkwellen und die ausführung von javascript! Im moment werden sich alle kriminellen dieser welt anschauen, wie das geht und was man mit diesem bösen sicherheitsproblem so anstellen kann, und das sind hochmotivierte leute. Das geheimhalten hilft bestenfalls ein paar stunden.

Aber linux ist doch sicher…

Der im Oktober vergangenen Jahres von den Linux-Kernelentwicklern veröffentlichte Patch für die Sicherheitslücke „Dirty Cow“ hat diese zwar geschlossen, dafür jedoch einen neuen Bug in den Kernel-Code geschleust […] gelang es ihnen, schreibend auf Speicherbereiche privilegierter Prozesse zuzugreifen

Weia! Immerhin gibts ein glimmchen licht in der ganzen finsternis:

[…] agte einer der Forscher, dass Android-Systeme grundsätzlich nicht betroffen seien. Der Grund hierfür sei das dort standardmäßig deaktivierte THP-Subsystem

Es sind jetzt also nicht wieder ein paar hundert milljonen händis mit einem scheuentorgroßen eingang für kinder und kriminelle unterwegs, die im gegensatz zu den richtigen kompjutern niemals eine sicherheitsaktualisierung kriegen. Macht aber nix, denn auch die „normalen“ fehler läppern sich ganz enorm, und aktuelle softwäjhr kriegt ihr nicht, weil ihr euch neue wischofone kaufen sollt. Auch weiterhin schön doof bleiben und das wischofon „smart“ nennen!

Security des tages

Wisst ja, linux ist voll sicher, da kann gar nix passieren. Außer manchmal, und dann ist auch mit linux ein bisschen eile geboten:

Das sudo-Kommando in Linux-Distributionen mit SELinux-Unterstützung enthält eine kritische Schwachstelle. Über diese können Anwender beliebige Daten auf dem System überschreiben und sich so mehr Rechte sichern, als ihnen eigentlich zustehen

Es klingt nach einem verheerenden fehler, wenn beliebige benutzer mit root-rechten nach herzenslust im dateisystem rumschreiben können. Also, wenn ihr für irgendein sörverchen verantwortlich seid, aktualisiert euer verdammtes system! Am besten genau jetzt! Tut es auch, wenn ihr glaubt, dass ihr sudo gar nicht nutzt!

(Nein, ich würde mich nicht darauf verlassen, dass das nur anwender ausbeuten können, die in der /etc/sudoers stehen. Auf dem sörver haben wir das problem, das windohs-nutzer seit zwei jahrzehnten auf dem desktop haben: wir haben das verbreitetste system. Ganz viele menschen werden sich genau in diesem moment sehr viele gedanken darüber machen, wie man diesen fehler ausbeuten kann, und die kreativität dieser leute ist erheblich. Nur ein beseitigter fehler ist ein guter fehler.)

Auf euren desktops kriegt ihr den security-kram ja hoffentlich automatisch… ODER?!

Wördpress des tages

Achtung, hier kommt ein ganzer korb voller frischer schlampigkeiten in wördpress-plugins.

Benutzt hier jemand wördpress und hat da ein paar plugins drinnen? Zum beispiel analytics stats counter, admin custom login (gleich mit zwei sicherheitslöchern), trust form, WP-filebase download manager, WP-spamfree, file manager, global content blocks, gwolle guestbook, newstatpress, wordpress download manager, magic fields 1, google analytics dashboard, alpine photo tile for instagram, wordpress adminer, user login log, contact form manager oder contact form?

Alle mit ausbeutbaren, teilweise fürchterlichen XSS-lücken. Also los, aktualisiert mal! Am besten, ihr aktualisiert schnell. Und wenn das nicht geht, schaltet wenigstens die verdammten plugins ab, die hier erwähnt wurden! Oder wollt ihr ein gekräcktes blog haben, das irgendwelchen idjoten zur verteilung von schadsoftwäjhr dient, für die ihr dann juristisch verantwortlich gemacht werdet?

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

Phishingtechnik des tages

Wenn ihr wegen eurer unwilligkeit, bekwem, sicher, verschlüsselt und träckingfrei mäjhl zu machen, keinen webmäjhler benutzt und… sagen wir mal… bei guhgell mäjhl seid, dann seid sehr aufmerksam, wenn ihr in eine mäjhl geklickt habt und euch neu anmelden sollt. Und meldet euch auf gar keinen fall neu an, wenn die adresszeile im brauser mit data: statt mit https: beginnt!

Die phisher haben einfach eine komplette phishing-seite in einer data:-URL untergebracht.

Von einer ausweitung des verfahrens auf andere kostenlose mäjhlanbieter sowie auf S/M-seits gehe ich aus. Denen, deren guhgell-konto schon gephisht wurde, wünsche ich viel spaß dabei, sich alles zurückzuholen, wofür sie sich „bekwem mit dem guhgell-konto“ angemeldet haben. Wenn euch doch nur jemand vor solchen zentralisierungen gewarnt hätte! :mrgreen:

Hinweis via @benediktg@gnusocial.de

Benutzt hier jemand joomla?

Das Update auf Joomla 3.6.4 schließt zwei Sicherheitslücken, die es in sich haben: Durch die eine können sich Angreifer Accounts erstellen, die mit erhöhten Rechten ausgestattet sind – vermutlich Admin-Accounts. Durch die andere Lücke können sich Angreifer selbst dann neue Accounts anlegen, wenn der Admin die Neuregistrierung deaktiviert hat

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich kümmert sich jetzt auch um kompjutersicherheit und hat heute eine bahnbrechende erkenntnis gehabt und trötet sie mit ganz lautem alarmton als wichtige und schwere sicherheitsmeldung heraus: ausführbare dateien können schadkohd beinhalten!!!1!!ölf!!! Wir werden alle sterben!!!!!!!1!

Niemand hätte damit jemals rechnen können!

Ja, wirklich: das ist der inhalt der meldung von heise: ausführbare dateien können schadkohd beinhalten… und es gibt gerade neben den eh schon bestehenden wegen, eine ausführbare datei zu erzeugen, noch einen weiteren weg unter benutzung von WINRAR. Wer sein gehirn auch benutzt, kommt natürlich niemals auf die idee, auf irgendeinen anhang in irgendeiner mäjhl zu klicken, selbst, wenn der halbwegs harmlos aussieht…

Warnung! 0day-exploit in WP-erweiterung TimThumb

Nachtrag: „TimThumb“ ist gefixt. Also los, setzt in der konfigurazjon WEBSHOT_ENABLED auf false und holt euch die aktuelle versjon!

Benutzt noch jemand da draußen „TimThumb“ — trotz seiner mittlerweile beachtlichen geschichte größerer sicherheitsprobleme? Wenn ja: sofort raus mit dem scheißteil! Das ding ermöglicht — mindestens dann, wenn man auch „WebShots“ in der konfigurazjon freigeschaltet hat — die ausführung beliebiger befehle mit den berechtigungen des websörvers. Und zwar auf kinderleichte weise. Und ebenfalls betroffen könnten — ich sage das jetzt aus dem bauch heraus — folgende erweiterungen sein, die zum teil den gleichen kohd wie „TimThumb“ nutzen: „WordThumb“, „WordPress Gallery Plugin“ und „IGIT Posts Slider“. Im zweifelsfall lieber erstmal abschalten, bis klar ist, dass die dinger unbedenklich sind oder bis gefixt wurde.