Wenn man so doof ist…
# curl -s https://irgendein.url.example.com/blah/ | bash -s # _
…irgendwelchen kohd aus einer webseit mit root-rechten auszuführen, darf man sich nicht wundern, wenn man hinterher einen trojaner auf seinem rechner hat. Gegen dummheit hilft selbst linux nicht.
Unter Linux unterstützt LibreOffice 5.4 OpenPGP-Schlüssel, um Dokumente zu signieren
Und windohs-anwender haben eh kein interesse an digitalen signaturen für dokumente. Weia, der kryptokram hirnt immer und man kann viel falsch machen, ich weiß… aber so eine raketenwissenschaft ist es nun auch wieder nicht, fertigen kohd zu benutzen!
Stell dir mal vor, du benutzt ein modernes linux mit systemd und willst netflix benutzen (hast ja dafür bezahlt), und du siehst eine weiße seite, weil die namensauflösung nicht mehr funkzjoniert, wenn die domäjhn (völlig legalerweise) einen underline enthält.
Ja, der artikel bei heise onlein liest sich, als wären die leute in der karl-wiechert-allee von der kompjuterbild übernommen worden, aber wenn ihr evince als dokumentbetrachter (für PDF und vieles mehr) benutzt, dann macht bitte trotzdem schnell die verdammte sicherheitsaktualisierung, denn nur ein beseitigter fehler ist ein guter fehler!
Weil sich der Fehler über den Thumbnailer auslösen lässt, genügt es vermutlich, eine bösartige oder kompromittierte Web-Seite aufzusuchen, um den Fehler auszulösen und sich zu infizieren
Mit xpdf wäre das nicht passiert! 😀
Stets wortgewaltige linux-freunde können Fefe jetzt ja mal erzählen, dass er die verdammte dokumentazjon lesen soll, damit es sich ein bisschen ganz normale kompjuterfunktionalität zurückholen kann… 
Das desktoplinux in seinem lauf hält weder ox noch esel auf:
Linux-Rekord: Zum ersten Mal über 2% im Desktop-Bereich!
Die weltherrschaft ist nur noch eine frage der zeit!
Aber achtung: die zahlen wurden höchst unseriös ermittelt und sind nichts als bullschitt. Dieses „netmarketshare“ bettet zählskripten und zählpixel in andere webseits (meist irgendwelche drexseits mit jornalismushintergrund) ein, und gerade unter den linux-anwendern dürfte ein deutlich größerer anteil der leute skriptblocker im webbrauser benutzen als in der sorglosen, bunten und gern datennackten windohs-parallelwelt.
Linux-entwickler, könntet ihr bitte langsam mal einsehen, dass der systemd eine scheißidee war!
systemd-resolved could be made to crash or run programs if it received a specially crafted DNS response
Hej, damit kann man nur den systemd kräschen. Also den kompjuter kwasi ausschalten, indem man ihn dazu bringt, eine namensauflösung zu machen. (Das machen zum beispiel viele analyseprogramme, viele antispämm-programme, ach! Da werden demnächst wohl viele sörverchen „runtergefahren“…)
Was für eine scheiße, das geht über mehrere un*xe hinweg! Ich bin mir sicher, dass es bei der NSA lange gesichter gibt, wenn der fehler demnächst gefixt wird. Und bitte nicht den schrecken davon mindern lassen, dass man das aus der ferne nicht direkt ausnutzen kann — es reicht, wenn etwa der websörver irgendein CMS verwendet, das eine andere ausbeutbare sicherheitslücke hat, mit der man kohd mit den rechten des websövers ausführen kann, und schon ist der sörver gepwnt.
Wisst ja, linux ist voll sicher, da kann gar nix passieren. Außer manchmal, und dann ist auch mit linux ein bisschen eile geboten:
Das sudo-Kommando in Linux-Distributionen mit SELinux-Unterstützung enthält eine kritische Schwachstelle. Über diese können Anwender beliebige Daten auf dem System überschreiben und sich so mehr Rechte sichern, als ihnen eigentlich zustehen
Es klingt nach einem verheerenden fehler, wenn beliebige benutzer mit root-rechten nach herzenslust im dateisystem rumschreiben können. Also, wenn ihr für irgendein sörverchen verantwortlich seid, aktualisiert euer verdammtes system! Am besten genau jetzt! Tut es auch, wenn ihr glaubt, dass ihr sudo gar nicht nutzt!
(Nein, ich würde mich nicht darauf verlassen, dass das nur anwender ausbeuten können, die in der /etc/sudoers stehen. Auf dem sörver haben wir das problem, das windohs-nutzer seit zwei jahrzehnten auf dem desktop haben: wir haben das verbreitetste system. Ganz viele menschen werden sich genau in diesem moment sehr viele gedanken darüber machen, wie man diesen fehler ausbeuten kann, und die kreativität dieser leute ist erheblich. Nur ein beseitigter fehler ist ein guter fehler.)
Auf euren desktops kriegt ihr den security-kram ja hoffentlich automatisch… ODER?!
Devuan 1.0.0 LTS ist fertig und kann daungelohdet werden. Wer es haben will, braucht vermutlich keine weitere erläuterung dazu…
Sicherheitslücke im anmeldebildschirm von unbuntu gewährt jedem zugriff auf ihre dateien
[…] „Lightdm“ grenzt die gastbenutzung-sitzung nicht korrekt ein, die standardmäßig in einer ubuntu-installazjon verfügbar ist. Ein angreifer mit fysikalischem zugang zu einem von dieser schwäche betroffenen gerät kann dies ausbeuten, um auf die dateien anderer benutzer auf dem system zuzugreifen, einschließlich der dateien im
home-verzeichnis der benutzer.
Der link geht auf einen englischsprachigen text. Wer die letzten sicherheitsaktualisierungen von unbuntu gezogen hat, ist aus dem schneider, weil die gastsitzungen einfach deaktiviert wurden. Wer noch nicht aktualisiert hat, sollte es jetzt einfach mal tun… 😉
Und nein, der fehler wird nicht gefixt. Das ist unbuntu, da fixt man solche fehler nicht. Da wird einfach die funkzjon abgeschaltet. Wer wirklich gast-logins braucht, könnte dafür allerdings auch einen benutzer mit geringen privilegjen anlegen und mit einem kleinen skriptchen sicherstellen, dass der benutzer jedes mal beim wieder-abmelden (oder bei der anmeldung) „aufgeräumt“ wird.
Hinweis via @benediktg@gnusocial.de.
Gleich mehrere Linux-Distributionen werden künftig im Windows Store abrufbar sein
Wenn ich jemanden in der öffentlichkeit erwürgen wollte, würde ich auch versuchen, es wie eine innige umarmung aussehen zu lassen…
