Security des tages

Hl. scheiße! Nutzt hier jemand die libssh auf einem sörver? Gut, dass die nicht so häufig benutzt wird:

Wer die SSH-Programmbibliothek libssh auf Serverseite nutzt, sollte diese zügig updaten. Eine kritische Sicherheitslücke erlaubt Angreifern, den Authentifizierungsprozesses zu umgehen, sprich: den Serverzugriff ohne Zugangsdaten

Das ist ein verdammter GAU!

Übrigens: der beliebte openssh-sörver nutzt die libssh nicht. Das gleiche gilt für die meisten anderen beliebten sörveranwendungen, hier mal eine kleine auswahl (das hätte heise eigentlich machen sollen, aber heise macht leider seit jahren lieber clickbait):

$ function wlib() { ldd `which "$1" | sed 1q` | grep so | sed -e 's/^\s*//' -e 's/\s.*$//' ; }
$ wlib apache2
linux-vdso.so.1
libpcre.so.3
libaprutil-1.so.0
libapr-1.so.0
libpthread.so.0
libc.so.6
libcrypt.so.1
libexpat.so.1
libuuid.so.1
libdl.so.2
/lib64/ld-linux-x86-64.so.2
$ wlib exim4
linux-vdso.so.1
libresolv.so.2
libnsl.so.1
libcrypt.so.1
libm.so.6
libdl.so.2
libdb-5.3.so
libgnutls.so.30
libpcre.so.3
libc.so.6
/lib64/ld-linux-x86-64.so.2
libpthread.so.0
libz.so.1
libp11-kit.so.0
libidn2.so.0
libunistring.so.2
libtasn1.so.6
libnettle.so.6
libhogweed.so.4
libgmp.so.10
libffi.so.6
$ wlib mysqld
linux-vdso.so.1
libaio.so.1
liblz4.so.1
libnuma.so.1
libwrap.so.0
libcrypt.so.1
libdl.so.2
libz.so.1
librt.so.1
libpthread.so.0
libstdc++.so.6
libm.so.6
libgcc_s.so.1
libc.so.6
/lib64/ld-linux-x86-64.so.2
libnsl.so.1
$ _

Bei den meisten menschen dürfte also kein grund zur panik bestehen. Wie man schnell herausbekommt, welche libs ein binärprogramm verwendet, kann einfach so übernommen werden — es sieht so kompliziert aus, weil ich die ausgabe noch ein bisschen aufgehübscht und von unnötigen angaben befreit habe.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat einen nebendschobb als richter angenommen und in dieser funkzjon rausgekriegt, dass ein schwerer unfall mit einer großen kerntechnischen anlage doch nicht ganz so unvermeidlich ist, wenn man diese anlage in einem erdbebengebiet mit tsunami-gefahr baut. Ich gratuliere prof. dr. Offensichtlich zu dieser nicht mehr für möglich gehaltenen einsicht, die sich leider nicht mit einem verständnis für angemessene entschädigungszahlungen verbindet:

Pro Kopf sollen die Anwohner demnach bis zu knapp 2800 Euro erhalten

Die begünstigen dieser großzügig von einem richter zugesprochenen entschädigungszahlung können sich jetzt über die wiederhergestellte gerechtigkeit freuen. :mrgreen:

Wie man mit einem super-GAU umgeht…

Noch bis zum Abend des 26. April bestand die Kraftwerksleitung selbst gegenüber der sowjetischen Führung in Moskau darauf, dass der Reaktor in Tschernobyl intakt sei und nur gekühlt werden müsse. Und das, obwohl überall auf dem Gelände Teile von Brennstäben und anderes Inventar aus dem Inneren der Anlage verteilt lagen