Aber linux ist doch sicher…

Na, benutzt hier jemand eine debianoide linuxdistribuzjon wie etwa unbuntu?

Kritische Sicherheitslücke in Debians Update-Tools

😳

Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten […] Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird

Also schnell die aktualisierung einspielen! Und hoffen, dass man dabei nicht gepwnt wird! Mit windohs wäre das nicht passiert, dass die korrigierte versjon schon verfügbar ist, während noch die heise-artikel mit der warnung getippt werden.

Übrigens liegt das problem nicht an der unverschlüsselten übertragung digital signierter dateien, deren signatur hinterher überprüft wird, wie der fach- und lachverlag heise in seinem alarmartikel überdeutlich den eindruck erweckt, sondern daran…

When the HTTP server responds with a redirect, the worker process returns a 103 Redirect instead of a 201 URI Done, and the parent process uses this response to figure out what resource it should request next […] Unfortunately, the HTTP fetcher process URL-decodes the HTTP Location header and blindly appends it to the 103 Redirect response

…dass einem rückgabewert aus dem internetz ungeprüft vertraut wird. HTTP ermöglicht allerdings einem dritten auf der leitung (zum beispiel der NSA oder unseren werten verfassungsfeinden aus den innenministerjen) darin ohne nennenswerten aufwand nach herzenslust herumzumanipulieren, ohne dass diese manipulazjon auf dem transportweg erkennbar ist.

Wenn ich die kwellen für so eine meldung lesen muss, um zu verstehen, um was zum hackenden henker es überhaupt in wirklichkeit geht, dann kann sich der werte herr jornalist sein alarmierendes und verdummendes geschreibsel der marke „mit HTTPS wäre das nicht passiert“ auch gern mal dahin stecken, wo keines sönnchens strahl die kotigen massen zu durchdringen vermag. Generell sind eingaben aller art zu überprüfen. In jeder verdammten softwäjhr. Auch bei HTTPS. Vor allem, wenn es um so etwas heikles wie die auslieferung von sicherheitsaktualisierungen geht.

Man könnte sogar andersherum argumentieren (natürlich nicht völlig ernstgemeint): HTTPS hätte die erkennung dieses fürchterlichen fehlers (oder dieser von einem geheimdienstlich bezahlten halunken in apt verbauten hintertür) erschwert oder verhindert. Im debian-projekt hat ja wohl auch in den letzten jahren niemand beim intensiven lesen der quältexte von selbst diese schwachstelle bemerkt, und das wäre in den kommenden jahren eher nicht besser geworden… :mrgreen:

Meine fresse, heise!

Ja, TLS ist trotz aller seiner probleme wichtig. Aber es löst nicht alle probleme. Ein dummer fehler ist ein dummer fehler ist ein dummer fehler. Der passiert. Der muss korrigiert werden. Der wird korrigiert. Das kann man nicht durch TLS ersetzen. Das kann man durch gar nix ersetzen.

Weia!

Linux des tages

Benutzt hier jemand debian unstable (oder einen debian-abkömmling wie etwa unbuntu) mit systemd und den KDE als desktop (oder irgendeinen anderen desktop, lädt aber die KDE-biblioteken schon einmal zum start des desktops, damit KDE-programme schnell starten)? Der systemd ist da gerade kaputt und der KDE braucht eine kleine ewigkeit zum starten.

Package: systemd
Version: 240-1
Severity: critical
Justification: breaks unrelated software

After upgrading to 240 version, all my system started to take ages to boot. It seems related to disk mapping first and then kdeinit5 is stuck for nearly 5 minutes at 100 cpu.

Downgrading to 239.15 fixes eveyting back. THe report is done from a restaures 239.15 version.

Ich habe das problem gerade mit einem XFCE vor mir gehabt, der die KDE-biblotheken zum start lädt. Das hat auf der müden kiste eines mitmenschen acht verdammte minuten gedauert. Für einen eher schlanken desktop ist das eine völlig inakzeptable wartezeit. Fröhliche weihnachten, kann man da nur sagen…

Wer ebenfalls einen XFCE benutzt und gerade so lange auf seine klickoberfläche warten muss, dass man währenddessen den hund zum scheißen auf die straße schleifen könnte, sollte vielleicht am ende der wartezeit mal unter einstellungen ▷ sitzung und startverhalten ▷ fortgeschritten sämtliche häkchen wegmachen. Damit sollte der XFCE erstmal wieder benutzbar sein. Zu schade, dass debian unbedingt diese systemd-krüppelscheiße nehmen musste! Aber für argumente war und ist dort halt niemand mehr zugänglich.

„Aber linux ist doch sicher“ des tages

Denis Andzakovic discovered that network-manager-vpnc, a plugin to provide VPNC support for NetworkManager, is prone to a privilege escalation vulnerability. A newline character can be used to inject a Password helper parameter into the configuration data passed to vpnc, allowing a local user with privileges to modify a system connection to execute arbitrary commands as root

Hallo debian!

Die mawk-versjon in debian stable ist rd. zwanzig verdammte jahre alt und so kaputt, dass sie keine character classes kennt und ein speicherleck hat, das bei größeren eingaben beachtliche mengen speicher wegknabbert und das system damit träschen kann. Und sie hat im üblichen debian-sumpf alle schangsen, auch noch dreißig oder vierzig jahre alt zu werden. Unterdessen: die liste wäxt und wäxt und wäxt.

Also leute, wenn ihr etwas schreibt, was auch auf debian laufen soll, dann setzt keinen POSIX-konformen awk voraus oder testet es auch mit gawk! Oder macht es gleich in perl (sowieso eine sprache, die zu lernen sich lohnt). Ach, ihr wollt (oder müsst gar) POSIX-konform bleiben? Tja… 😦

Aber hauptsache, der scheiß-systemd ist aktuell! 😦

Security des tages

Hat her vielleicht jemand einen mit debian (oder einer beliebigen debian-artigen distri) betriebenen websörver nebst… örks!… tomcat-applikazjonssörver, auf dem auch eine… örks!… vielleicht mit kleinen schwachstellen ausgestattete tomcat-applikazjon läuft und lädt jetzt gerade die ganze welt dazu ein, mal ohne großen aufwand root auf dem sörver zu werden?

Mit linux wär das nicht… oh! :mrgreen:

Debian des tages

Bwahahahahaha!

Allerdings: der fehler wurde ausgerechnet am ersten april gemeldet. Es ist aber kein aprilscherz, wie man mit debian schnell rauskriegt:

Bildschirmfoto eines laufenden debian mit der meldung

Gefällt mir! 😀

(Fefes suggerierte lösung, doch einfach neuere versjonen auszuliefern, würde vermutlich der gesamten idee debians widersprechen — man hat dort einen oft so erschreckend alten versjonsstand, dass es weh tut. Aber den systemd verbasteln! Weia, debian hat ja schon immer ein kleines bisschen gesaugt, aber das ist dafür auch im laufe der zeit kein bisschen besser geworden. Ganz im gegenteil.)

Heise des tages

Heute in der karl-wiechert-allee: „Wir haben eine meldung, dass mozilla seine richtlinjen für die benutzung seiner marken so verändert hat, dass man als linuxdistributor jetzt auch einen „firefox“ etwas pätschen darf und ihn trotzdem noch „firefox“ nennen darf und ihm auch das zugehörige piktogramm geben darf. Was schreiben wir da mal als überschrift drüber?“ — „Schreib doch einfach ‚Debian gibt Webbrowser Iceweasel auf und setzt wieder auf Firefox‚! Das dingens heißt ja bei denen demnäxst wieder so…“

(Übrigens stand es vor diesem einlenken mozillas schon kurz davor, dass auch „redhat“ so einen „pseudofork“ mit einer handvoll pätsches für die einpassung in „redhat“ und einem neuen namen und neuen logo gemacht hätte, weil die marke „firefox“ nicht zuließ, dass man das ding ein bisschen an seine distribuzjon anpasst und immer noch „firefox“ nennt. Das wäre schon sehr schmerzhaft gewesen, wenn eines der erfolgreichsten projekte der Freien softwäjhr ausgerechnet auf linux-systemen nicht mehr als marke zu finden gewesen wäre. Um zu begreifen, was das bedeutet, haben die dummk… ähm… mitmenschen von mozilla auch nur fast ein jahrzehnt gebraucht. Vermutlich waren sie viel zu sehr damit beschäftigt, den feierfox zu verschlimmbessern und aufzumoppeln, bis er fast unerträglich wurde, so dass sie einfachere gedanken nicht denken konnten — im moment sogar mit DRM-artigen technikverhinderungen wegen wissenschon der sicherheit. Und ich habe fast ein jahrzehnt lang immer wieder mal unkundigen leuten gesagt, dass der brauser „iceweasel“ genau das selbe wie ein „firefox“ ist, nur eben mit anderem namen wegen diesem analsadistisch-idjotischen „geistiges-eigentum“-hirnfick und so einem bullschitt wie dem „ansehen einer marke“. Fast ein verdammtes jahrzehnt lang! Leute, ihr seid doch alle nicht mehr ganz knusper!)

Feierfox (mit „iceweasel“-geschmack) des tages

Der feierfox in der debian-geschmacksrichtung namens „iceweasel“ ist wirklich sehr darum bemüht, den erwartungen seiner nutzer zu entsprechen. Deshalb lädt er zum beispiel noch bevor man irgendwas in die adressleiste eingegeben hat das „favicon“ von ihh-bäh und amazon runter. Das ist ein extrem wichtiges funkzjonsmerkmal. Wo kämen wir auch hin, wenn der brauser nicht schon damit anfinge, die erste reklame (von zwei üblen, träckenden und die privatsfäre der menschen mit füßen tretenden scheißläden aus den USA) runterzuladen, bevor wir auch nur damit rumbrausen? Oder, ums mal so zu sagen, wies dann gesagt wird, damit anwender auch kapiert, wer herr ist:

If you don’t want the functions that Firefox provides, don’t use it.

Ich bin inzwischen viel zu kaputt, um das fette dingens zu forken und einen „dietfox“ draus zu machen (einschließlich kompromisslos datenschützender voreinstellungen), aber jemand muss es tun! Dringend! Die alternative zum fork ist, dass sich der feierfox immer weiter in eine als „freie softwäjhr“ getarnte, halbtrojanische reklameplattform für halbseidene klitschen ohne seriöses geschäftsmodell verwandelt. Das kann keiner wollen, krohm gibts doch schon…

[via Rosa Elefant]

GNOME des tages

Gnome 3 sei seit dem Wegfall von Gnome-Fallback nur auf amd64 und i368 installierbar, gleiches gelte auch für Cinnamon, das auf Gnome 3 basiert […] Hess hat daraufhin Tasksel in Version 3.29 dahin gehend angepasst, dass XFCE bei Debian 8 der Standard-Desktop für alle Architekturen außer x86 ist

Mann, mann, mann, macht doch einfach den XFCE zum standard und lasst diese scheiße mit dem dann nicht mehr unbedingt erforderlichen systemd so lange sein, bis sich das dingens entweder in wohlgefallen aufgelöst hat oder drei bis fünf jahre lang gezeigt hat, dass es trotz seiner fragwürdigen architektur robust genug ist, um benutzbar zu sein. GNOME ist tot, seit eine 3 als versjonsnummer dransteht.

Gibt es doch noch etwas hoffnung für debian?

Debian entscheidet erneut über Init-Systeme

Möge bei der entscheidung eine ordentliche porzjon gehirn abregnen und niemand seinen regenschirm aufspannen! Lieber den GNOME in das markant duftende tönnchen tun (in das er meiner meinung nach lange schon gehört) als die ganze distribuzjon wegwerfen! Und wenns mit dem gehirn nicht klappt, dann vielleicht mit der angst vorm frühen tod durch einen auftragsmörder

Das ist das ende von debian

Nein, kein witz… leider nicht.

Zudem verfüge Gnome über eine bessere Integration von Systemd, was ebenso entscheidend für den Einsatz als Standarddesktop sei

Zum erbrechen! (Wer nicht versteht, warum das zum erbrechen ist, lese bitte hier weiter. Wer es dann immer noch nicht versteht, wird vermutlich früh genug zum kotzen kommen, wenn diese systemd-scheiße überall zum „single point of failure“ geworden ist, vielleicht sogar ganz gut von außen angreifbar. Wozu zum hl. henker braucht ein init-prozess, dessen hauptsächliche aufgabe es ist, ein u*ixoides system hochzufahren und in seltenen fällen seine runlevel zu wexeln, so etwas wie einen eingebauten minimalistischen websörver? Der mit systemgott-rechten läuft? Die idjoten bauen da gerade eine komplexität auf, die linux so strokelig und instabil machen wird, wies windohs einmal war und zum glück — nach anderthalb jahrzehnten der reife in einem „weltweiten betatest“ durch zahlende anwender — nicht mehr ist. Vermutlich soll ich doch noch in die arme von BSD getrieben werden…)