„Linux ist sicher“ und unbuntu des tages

Sicherheitslücke im anmeldebildschirm von unbuntu gewährt jedem zugriff auf ihre dateien

[…] „Lightdm“ grenzt die gastbenutzung-sitzung nicht korrekt ein, die standardmäßig in einer ubuntu-installazjon verfügbar ist. Ein angreifer mit fysikalischem zugang zu einem von dieser schwäche betroffenen gerät kann dies ausbeuten, um auf die dateien anderer benutzer auf dem system zuzugreifen, einschließlich der dateien im home-verzeichnis der benutzer.

Der link geht auf einen englischsprachigen text. Wer die letzten sicherheitsaktualisierungen von unbuntu gezogen hat, ist aus dem schneider, weil die gastsitzungen einfach deaktiviert wurden. Wer noch nicht aktualisiert hat, sollte es jetzt einfach mal tun… 😉

Und nein, der fehler wird nicht gefixt. Das ist unbuntu, da fixt man solche fehler nicht. Da wird einfach die funkzjon abgeschaltet. Wer wirklich gast-logins braucht, könnte dafür allerdings auch einen benutzer mit geringen privilegjen anlegen und mit einem kleinen skriptchen sicherstellen, dass der benutzer jedes mal beim wieder-abmelden (oder bei der anmeldung) „aufgeräumt“ wird.

Hinweis via @benediktg@gnusocial.de.

Kennt ihr den schon?

Der opera-brauser für ändräut ist voll datensparsam, antiträcking, privatsfäre und so mit seinem eingebauten adblocker… und transportiert selbst träckende ads in der äpp. 😳

Überall, wohin man nur schaut: angebote für die generazjon jamba auf dem weg in die idiocracy.

Bildschirmfoto via unixstickers@twitter.com, hinweis via @benediktg5@twitter.com.

Schlangenöl des tages

Security:
Unfassbar schlimmer fehler im schadsoftwäjhr-skänner von meikrosoft windohs kann ausgenutzt werden, um schadsoftwäjhr zu installieren

Nachtrag: artikel bei heise onlein. Keine sorge, es handelte sich „nur“ um die funkzjonalität, irgendwelchen kohd (aus webseits, aus IM-mitteilungen, aus mäjhls, die man dafür nicht einmal anschauen muss, aus irgendwas von irgendwo) mal eben testweise mit system-rechten auszuführen. Genau die art von funkzjonalität — von irgendwelchen verschwörungsteoretikern dann als „hintertür“ bezeichnet — wie sie die NSA gern hätte. Natürlich deute ich das nur völlig beleglos an…

Bringt farbe in die kindheit…

Ein Malbuch für Kinder hat in den Niederlanden für Aufregung gesorgt: Kunden der Drogeriekette Kruidvat entdeckten beim Blick in das Malbuch einen gezeichneten Adolf Hitler in Uniform mit Hakenkreuzbinde

Tja, ist schon kacke, wenn man so etwas einfach druckt, ohne es sich vorher ganz genau anzuschauen und irgendein mutmaßlich unterbezahlter elendsarbeiter sich einen fiesen scherz erlaubt… hättet ihr das buch einfach selbst ausgemalt, bevor ihr es verkauft, wäre das nicht passiert. Aber seit wann guckt man sich die sachen selbst an, die man seinen kunden für eine handvoll euro andreht… :mrgreen:

Polizei und jornallje des tages

Stell dir mal vor, du bist ein bekannter deutscher räpper und plötzlich taucht ein foto von dir in der gesamten BRD-drexjornallje als fantombild einer polizeifahndung auf, so wie es gerade bushido passiert ist

Was lernen wir daraus: polizeien bedienen sich offenbar manchmal bei öffentlich verfügbaren fotos anderer leute, wenn sie ein fantombild für eine fahndung anfertigen. Mindestens die polizeiinspekzjon stade macht das so. Und jornalisten bemerken das nicht einmal dann, wenn es sich um einen aus den tittitäjhnment-njuhs halbwegs bekannten menschen handelt, sondern bringen das bild mit dem fahndungsaufruf ohne umweg über das gehirn direkt in ihre drexzeitungen und drexwebseits vor die augen von milljonen menschen. Vermutlich hat es vor bushido schon viele leute auf diese weise erwischt, die nur nicht „prominent“ waren, so dass diese praxis möglicherweise seit vielen jahren niemanden aufgefallen ist. Ist halt nur kacke, wenn man aus heiterem himmel von nervösen polizeibeamten mit gezogener dienstwaffe verhaftet wird, weil man „wie ein gesuchter räuber“ aussieht. 😦

Ich wünsche euch allen übrigens weiterhin viel spaß dabei, eure ganzen selfies und richtigen fotos zu irgendwelchen S/M-drexseits hochzuladen!

Kurz verlinkt

Ist ein bisschen technischer und beschreibt, was man mit den spezjalexperten erleben kann, die bei meikrosoft einen kostenlosen mäjhldienst machen:

Aus dem Rechenzentrum
Warum man mit Hotmail keinen Ärger haben möchte

Benutzt überhaupt noch jemand (also jemand anders als spämmer) eine mäjhladresse bei „hotmail“? Ich habe die seit vielen jahren nur in spämm gesehen.

via @benediktg@gnusocial.de

Webbrauser des tages

Gehört hier jemand zu den 500 milljonen menschen, die als webbrauser den UC browser für wischofone benutzen? Der hat einen interessanten fehler. Man kann einfach in der adresszeile die URI einer beliebigen anderen seite anzeigen lassen. Und das HTML, das man dafür tippen muss, ist auch nicht so schwer zu tippen — nein, für den exploit braucht man ausnahmsweise einmal kein javascript.

Ein paradies für phisher!

Also, wenn jemand das ding benutzt: holt euch eine gefixte versjon… und wenn es die noch nicht gibt, benutzt so lange einen anderen webbrauser!

Internet der dinge des tages

Security
Hoppla! Mehr als 185.000 WiFi-kameras mit unsicherer administrazjons-schnittstelle im web

Zieht einfach die stecker raus, bevor jemand ein botnetz daraus macht…

Natürlich wird keiner die stecker rausziehen. Woher sollen die leute denn wissen, das da jeder ohne passwort kohd hochladen und ausführen kann? Woher sollen die fabrikmäßig von schule, glotze und presse verdummten idjoten überhaupt wissen, was das bedeutet?

GNU-facepalm des tages

Dieses zitat mit einer anleitung, wie man die GNU-shell „bash“ kompiliert, dürfte für die meisten menschen eher uninteressant sein. Die, für die es interessant ist, werden vermutlich ein ähnliches gesicht ziehen wie ich…

Prepare Bash for compilation:

./configure --prefix=/tools --without-bash-malloc

The meaning of the configure options:

--without-bash-malloc
This option turns off the use of Bash’s memory allocation (malloc) function which is known to cause segmentation faults [sic!]. By turning this option off, Bash will use the malloc functions from Glibc which are more stable.

Ohne weitere worte. Eben gerade bei „linux from scratch“ gesehen.

Wie man an daten einer „kompjutersicherheitsfirma“ kommt…

[…] konnten sie zumindet einige Stunden lang auf das Verzeichnis www.denuvo.com/fileadmin/ zugreifen, indem sie schlicht die URL in ihrem Browser eintippten. Dort fanden sie neben diversen Zugriffs-Logs auch eine 11 MByte großes Textdatei namens Ajax.log. In dieser waren Kontaktanfragen aus dem Jahr 2014 gespeichert, unter anderem von Mitarbeitern von Capcom, TaleWorlds, Dontnod, Microsoft und Google

Erfreulicherweise hat heise onlein diese allzu alltägliche tätigkeit in seinem artikel weder einen häck noch einen cräck genannt. So etwas ist ja auch nicht erforderlich, wenn die daten einfach zum weltweiten zugriff im web veröffentlicht werden… :mrgreen:

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

„Cloud“ des tages

Gut, bei github und gitlab redet keiner von „cloud“, aber es ist natürlich die gleiche idee: legt alles irgendwo auf den rechnern anderer leute ab. Ist nur scheiße, wenn man kurz die sonne scheint und sich die wölklein auflösen:

Gegenwärtig ist der Softwareprojekt-Hosting-Dienst GitLab.com nicht erreichbar. Der Grund liegt offenbar darin, dass einer der in den Niederlanden beheimateten Administratoren des Systems gestern einen leeren Ordner entfernen wollte, da er in ihm den Grund für Replikationsprobleme der zum Einsatz kommenden PostgreSQL-Datenbank vermutete. Der Admin war jedoch auf einem anderen Computer angemeldet, als er dachte, wodurch er wohl statt des Ordners die gesamte Produktionsdatenbank gelöscht haben muss

Huuups! 😀

Na, die werden aber hoffentlich bäckups haben…

Leider versagten in der Folge anscheinend auch etliche Backup-Mechanismen. Das Backup der PostgreSQL-Datenbank konnte zum Beispiel nicht zum Laufen gebracht werden, da die Binaries zum Starten nicht mehr mit der aktuellen Version kompatibel waren […] Auch das Testen der Datenwiederherstellung scheint in jüngster Zeit stiefmütterlich behandelt worden zu sein

Arrrrgh! 😦

Ich wünsche den armen schweinen von admins eine störungsfrei funkzjonierende kaffeemaschine. Könnt ja ein bisschen singen:

Yesterday
All those backups seems a waste of pay
Now my database is gone away
Oh yesterday came suddenly… :mrgreen:

Jetzt aber genug des spottes! So ein fehler kann wirklich schnell passieren, denn ein xterm sieht aus wie das andere (deshalb hat man meist den hostname im prompt, um überhaupt eine schangse zu haben), und wenn dann auch noch bimmeling ein telefon klingelt und man zwischendurch etwas anderes macht, dann geht die eingabe schon einmal direkt und ohne umweg über die augen aus dem kopf des admins ins falsche xterm. Und dass die zurückspielbarkeit eines bäckups nicht so regelmäßig überprüft wird, wie das erforderlich wäre, ist leider ein standard. Solche sicherheitsmaßnahmen kosten geld, bringen aber keinen umsatz, so dass man den profit erhöht, wenn man daran spart. Ich bin mir sicher, dass die daten in den nächsten stunden mit der brechstange wiederhergestellt werden, aber nervenschonend wird das für die admins nicht. Die waten gerade durch scheiße.

Spezjalexperten in enterprise-kwalität bei der „domainfactory GMBH“ m(

Achtung, hier der goldene facepalm des monats, leider mit dem zwitscherchen als primärkwelle:

Tweet von @tryvann: "Registry Expert / Senior Systemadministration" von @DomainFactory fragt nach Private Key um die Zertifikatsausstellung abzuschließen. WTF?!

Auch die weiteren S/M-kommunikazjonsleistungen der spezjalexperten von der „domainfactory GMBH“ — hier auch als bildschirmfoto, damit niemand zum träckenden zwitscherchen rübermuss, das ohne javascript nicht läuft — zeugen nicht gerade von kompetenz und einsicht.

Wer nicht versteht, wo das problem liegt: ein private key heißt so, weil er nicht in fremden besitz kommen darf. Das ist grundlage moderner kryptoverfahren. Den gibt man nicht heraus. An niemanden. Und es ist auch niemals für irgendeine dienstleistung erforderlich.

Wer zur abgabe eines private key auffordert, ist entweder völlig inkompetent oder ein riesengroßes arschloch mit sinistren absichten. Beide möglichkeiten sind übrigens keine empfehlung, kunde bei der „domainfactory GMBH“ zu werden, ganz im gegenteil. Wäre ich dort kunde, würde ich meinen vertrag kündigen, nachdem mir so eine sache auch nur halbwegs gesichert zu ohren gekommen ist, und zwar fristlos, weil jedes vertrauen in den vertragspartner unrettbar zerstört wurde. Das ist keine kleinigkeit, es handelt sich mindestens um nicht vorhandene kernkompetenzen für deren vertragserfüllung oder sogar um einen versuch, material für kriminelle manipulazjonsmöglichkeiten mit irreführenden aussagen zu beschaffen.

Habe ich schon gesagt, dass ich davon abrate, kunde der „domainfactory GMBH“ zu sein.

Gut, dann habe ich ja das wichtigste gesagt.