„Linux ist sicher“ des tages

Ja, der artikel bei heise onlein liest sich, als wären die leute in der karl-wiechert-allee von der kompjuterbild übernommen worden, aber wenn ihr evince als dokumentbetrachter (für PDF und vieles mehr) benutzt, dann macht bitte trotzdem schnell die verdammte sicherheitsaktualisierung, denn nur ein beseitigter fehler ist ein guter fehler!

Weil sich der Fehler über den Thumbnailer auslösen lässt, genügt es vermutlich, eine bösartige oder kompromittierte Web-Seite aufzusuchen, um den Fehler auszulösen und sich zu infizieren

Mit xpdf wäre das nicht passiert! 😀

Desktoplinux des tages

Das desktoplinux in seinem lauf hält weder ox noch esel auf:

Linux-Rekord: Zum ersten Mal über 2% im Desktop-Bereich!

Die weltherrschaft ist nur noch eine frage der zeit!

Aber achtung: die zahlen wurden höchst unseriös ermittelt und sind nichts als bullschitt. Dieses „netmarketshare“ bettet zählskripten und zählpixel in andere webseits (meist irgendwelche drexseits mit jornalismushintergrund) ein, und gerade unter den linux-anwendern dürfte ein deutlich größerer anteil der leute skriptblocker im webbrauser benutzen als in der sorglosen, bunten und gern datennackten windohs-parallelwelt.

Security des tages

Linux-entwickler, könntet ihr bitte langsam mal einsehen, dass der systemd eine scheißidee war!

systemd-resolved could be made to crash or run programs if it received a specially crafted DNS response

Hej, damit kann man nur den systemd kräschen. Also den kompjuter kwasi ausschalten, indem man ihn dazu bringt, eine namensauflösung zu machen. (Das machen zum beispiel viele analyseprogramme, viele antispämm-programme, ach! Da werden demnächst wohl viele sörverchen „runtergefahren“…)

Security des tages

Forscher der Sicherheitsfirma Qualys hatten entdeckt, dass sich eine Sicherheitsvorkehrung der Speicherverwaltung des Linux-Kernels dazu missbrauchen lässt, Speicherinhalte zu überschreiben. Angreifer können dies missbrauchen, um sich höhere Rechte zu erschleichen und damit Schadcode auszuführen. Betroffen sind der Linux-Kernel, FreeBSD, OpenBSD, Solaris und andere Unix-ähnliche Betriebssysteme

Was für eine scheiße, das geht über mehrere un*xe hinweg! Ich bin mir sicher, dass es bei der NSA lange gesichter gibt, wenn der fehler demnächst gefixt wird. Und bitte nicht den schrecken davon mindern lassen, dass man das aus der ferne nicht direkt ausnutzen kann — es reicht, wenn etwa der websörver irgendein CMS verwendet, das eine andere ausbeutbare sicherheitslücke hat, mit der man kohd mit den rechten des websövers ausführen kann, und schon ist der sörver gepwnt.

Erpressungstrojaner des tages

Eine Linux-Version der Ransomware Erebus hat Server eines Hosters verschlüsselt und so Webseiten von Kunden lahmgelegt. Auf den Servern soll veraltete, von Sicherheitslücken durchsiebte Software zum Einsatz gekommen sein […] Schlussendlich haben sich Erpresser und Opfer dem Bericht zufolge auf die Zahlung von 1 Million US-Dollar geeinigt

Mit linux wär das nicht pass… oh!

Security des tages

Wisst ja, linux ist voll sicher, da kann gar nix passieren. Außer manchmal, und dann ist auch mit linux ein bisschen eile geboten:

Das sudo-Kommando in Linux-Distributionen mit SELinux-Unterstützung enthält eine kritische Schwachstelle. Über diese können Anwender beliebige Daten auf dem System überschreiben und sich so mehr Rechte sichern, als ihnen eigentlich zustehen

Es klingt nach einem verheerenden fehler, wenn beliebige benutzer mit root-rechten nach herzenslust im dateisystem rumschreiben können. Also, wenn ihr für irgendein sörverchen verantwortlich seid, aktualisiert euer verdammtes system! Am besten genau jetzt! Tut es auch, wenn ihr glaubt, dass ihr sudo gar nicht nutzt!

(Nein, ich würde mich nicht darauf verlassen, dass das nur anwender ausbeuten können, die in der /etc/sudoers stehen. Auf dem sörver haben wir das problem, das windohs-nutzer seit zwei jahrzehnten auf dem desktop haben: wir haben das verbreitetste system. Ganz viele menschen werden sich genau in diesem moment sehr viele gedanken darüber machen, wie man diesen fehler ausbeuten kann, und die kreativität dieser leute ist erheblich. Nur ein beseitigter fehler ist ein guter fehler.)

Auf euren desktops kriegt ihr den security-kram ja hoffentlich automatisch… ODER?!

„Linux ist sicher“ und unbuntu des tages

Sicherheitslücke im anmeldebildschirm von unbuntu gewährt jedem zugriff auf ihre dateien

[…] „Lightdm“ grenzt die gastbenutzung-sitzung nicht korrekt ein, die standardmäßig in einer ubuntu-installazjon verfügbar ist. Ein angreifer mit fysikalischem zugang zu einem von dieser schwäche betroffenen gerät kann dies ausbeuten, um auf die dateien anderer benutzer auf dem system zuzugreifen, einschließlich der dateien im home-verzeichnis der benutzer.

Der link geht auf einen englischsprachigen text. Wer die letzten sicherheitsaktualisierungen von unbuntu gezogen hat, ist aus dem schneider, weil die gastsitzungen einfach deaktiviert wurden. Wer noch nicht aktualisiert hat, sollte es jetzt einfach mal tun… 😉

Und nein, der fehler wird nicht gefixt. Das ist unbuntu, da fixt man solche fehler nicht. Da wird einfach die funkzjon abgeschaltet. Wer wirklich gast-logins braucht, könnte dafür allerdings auch einen benutzer mit geringen privilegjen anlegen und mit einem kleinen skriptchen sicherstellen, dass der benutzer jedes mal beim wieder-abmelden (oder bei der anmeldung) „aufgeräumt“ wird.

Hinweis via @benediktg@gnusocial.de.