Und auf dem Weg müssen sie auch noch auf die wertvolle Expertise von McKinsey und co verzichten!
Schlagwort-Archive: Linux
Meikrosoft-kompjutersabotahsche des tages
Übrigens: für diesen text aus dem jahr 2013 haben mich menschen für einen durchgeknallten spinner gehalten. Meikrosoft ist weiterhin als feind zu betrachten. Und die scheiße, die meikrosoft ins BIOS gedrückt haben will, damit man meikrosoft windohs darauf benutzen kann, ist als schadsoftware zu betrachten, die meikrosoft beliebige sabotahschen ermöglicht.
(Ja, ich weiß, dass man die gängelnde meikrosoft-krüppelscheiße meistens noch im BIOS abschalten kann. Aber erklärt mal einem technisch unkundigen mitmenschen am telefon, wie das geht! Am besten, wenn ihr auch das BIOS auf seinem rechner nicht kennt. Ich habe das schon oft genug gemacht. Und einige male wurde es am telefon so schwierig, dass ich mich lieber aufs fahrrad geschwungen habe…)
Security des tages
Sicherheitsupdates Samba:
Angreifer könnten Admin-Passwörter ändern[…] Angreifer könnten an dieser Stelle Anfragen mit einem eigenen Schlüssel verschlüsseln, die akzeptiert werden. Darüber soll es möglich sein, die Passwörter von anderen Nutzern zu ändern. Geschieht dies bei einem Admin-Account, könnte dies zu einer vollständigen Domänenübernahme führen
Dann aber ganz schnell die aktualisierungen installieren! Oh, debian hat sie noch gar nicht im stable-zweig, da gibt es zurzeit nur 4.13.13? Na, dann viel glück! Muss man ja auch manchmal haben… ☹️
Da wäxt zusammen, was zusammen gehört
Aus linux ein hässliches, schwerer durchschaubares und insgesamt instabilieres system gemacht, und zur belohnung gibts einen dschobb von pappi. Herzlichen glückwunsch, herr Poettering. Mögen sie am geld ersticken!
Linux des tages
Nehmt linux, haben sie uns gesagt. Das ist sicherer als das betrübssystem von meikrosoft, haben sie uns gesagt.
Bei Code-Analysen hat Microsoft mehrere Sicherheitslücken in Linux entdeckt, durch die Angreifer etwa auf einem Linux-Desktop-System root-Rechte ergattern und somit die Kontrolle darüber übernehmen könnten. Dazu müssten sie die Schwachstellen verketten, die Microsoft unter dem Namen Nimbuspwn bündelt, und könnten schließlich Schadsoftware wie Backdoors einrichten oder andere schädliche Aktionen mit root-Privilegien ausführen
Hihi, ausgerechnet meikrosoft findet lücken in linux. Das ist etwa so, als ob man ein quake-deathmatch macht und dabei zur erhöhung der demütigung geaxtet wird. 😁️
Und, woran liegt es?
Die Schwachstellen seien den Forschern bei Code-Analysen durch Lauschen am Systembus aufgefallen. Dabei fanden sie ein ungewöhnliches Muster in der systemd-Komponente networkd-dispatcher
Ach, wenn doch nur vorher jemand vor dem beschissenen systemd gewarnt hätte!
Aber linux ist doch sicher…
Na, dann gibts demnächst mal wieder eine kleine sicherheitsaktualisierung. Weil irgendjemand (natürlich mit ein paar zeilen kohd zwischen free und memcpy) so etwas gemacht hat:
void quux (void *buf)
{
extern void *quox;
free (buf);
memcpy (buf, quox, BUFFER_SIZE);
}
Nee, so offensichtlich wird das nicht drinstehen. Hoffe ich zumindest.
Ehemaliges fachmagazin des tages
Wofür man geld latzen soll, um zugriff auf heise doppelplusgut zu haben? Dafür, dass man von heise-jornalisten erklärt bekommt, wie man ein linux und ein windohs auf die gleiche festplatte bringt und beim hochfahren ein auswahlmenü hat. Selbst debian kriegt das inzwischen (einschließlich unterstützten anlegens einer neuen partizjon und rumschieben der daten auf der platte) automatisch hin, und die diversen bastardkinder von debian von mint bis unbuntu erst recht. Kurz gesagt: es ist ein ziemlich überflüssiger artikel. Und das weiß ich schon…
Damit die Installation gut nachvollziehbar ist, lassen wir Sonderfälle weitestgehend außen vor
…nach „genuss“ des anrisstextes, der mich zum doppelplusgut-abo bewegen soll.
Ich wünsche den ehemaligen fachverlag aus der karl-wiechert-allee auch weiterhin viel erfolg bei seinem streben danach, zur computerbild mit schlips zu werden.
Nutzt hier jemand linux? Oder ändräut?
Der unterschied zwischen richtigen kompjutern und wischofonen: ich kriege wenigstens meine sicherheitsaktualisierungen.
Aber linux ist doch sicher, oder?
Das kleine fehlerchen in polkit (früher als policykit bekannt), das eine beliebige ausweitung von benutzerrechten ermöglicht, liegt seit dem jahr 2009 für „kreative anwendungen“ offen:
Die Ausnutzung der entdeckten Lücke versetzt einen lokalen unprivilegierten User mit wenig Aufwand in der Lage, volle Root-Rechte auf einer Maschine zu erlangen. Dazu muss nicht einmal der Polkit-Daemon laufen. So schreibt denn auch der Entdecker Gordon ‘Fyodor’ Lyon, Schöpfer von Nmap, diese Lücke sei der »Traum eines jeden Angreifers«
Aber dafür ist der angriff auch nicht so schwierig, sondern eher eine übung für aufgeweckte kinder. Wer polkit auf BSD einsetzt, hat allerdings nichts zu befürchten, denn dort weigert sich der kernel, ein execve() auszuführen, wenn argc 0 ist. Linux ist da leider ein bisschen flexibler… 🤭️
(Warum eigentlich?)
Habt ihr ihn auch so vermisst?
Linuxnutzer aufgepasst: bei meikrosoft könnt ihr euch den edge-brauser von meikrosoft runterladen. Wir konnten wir nur die ganzen jahre ohne leben?! 🤣️
Aber wer weiß: wenn der feierfox weiterhin immer unbrauchbarer gemacht wird, dann kommt demnächst vielleicht ja die alternative von meikrosoft. Gibt zwar leider keinen kwelltext dazu, aber kommt, meikrosoft könnt ihr vertrauen. Das sind die, die das meistbenutzte arbeitsrechner-betrübssystem der welt mit trojanerkohd zur weitgehenden überwachung der nutzer vollgemüllt haben. Kommt, und außerdem ist halloween. 👻️
Aber linux ist doch viel sicherer…
…das ist doch diese freie software, wo jeder in die offenen kwältexte schaut, so dass jedes sicherheitsloch gefunden wird:
Wie aus einer Mailing-Liste hervorgeht, wurde die Lücke (CVE-2021-36370) im Zuge einer Prüfung der Software (Audit) in der SFTP-VFS-Komponente entdeckt. Dabei fiel auf, dass die Fingerprints von entfernten Hosts zwar berechnet, aber nicht überprüft werden
🤦♂️️
Wer mit seinem mc nur lokal daten umherschiebt, sollte auf der sicheren seite sein. Aber aktualisiert trotzdem! Nur ein gefixter fehler ist ein guter fehler. Und SFTP mit dem mc ist echt praktisch. 😉
Aber linux ist doch sicher…
Also holt euch mal schön den gepätschten kernel ab! Ach ja: und den gepätschten systemd! Der hat auch ein klitzekleines ausbeutbares fehlerchen, mit dem man euch den kompjuter mindestens abschießen kann! Bei den größeren distributoren liegt alles schon bereit, ihr braucht nur zu klicken, ist ganz einfach und geht auch halbwegs schnell…
Es ist übrigens nicht ganz so einfach, den fehler auszulösen, wie es die kwalitätsjornalisten vom ehemaligen fachmagazin aus der karl-wiechert-allee als eindruck erwecken. Man muss ein dateisystem mounten, das (deutlich) größer als vier gibibyte ist (das kann natürlich auch eine mit dd angelegte datei sein, der man mit makefs ein dateisystem gegeben hat, wir benutzen ja das sehr flexible linux) und darin eine verzeichnisstruktur anlegen, in der ein pfad mit einer länge von über einem gibibyte auftritt. Dafür würden schätzungsweise eine milljon inodes benutzt. Wenn man mit benutzerrechten nicht mounten kann, kann das auch kein trojaner exploiten — und praktisch jeder sörverrechner wird so konfiguriert sein. Aber trotzdem ist das ein ziemlich böser (und etwas dummer) fehler, der weg muss. Arbeitsrechner sind wesentlich weniger restriktiv als sörver konfiguriert und hier die eigentliche angriffsfläche. Niemand hat gern einen mit rootkit und fernsteuerschnittstelle gepwnten kompjuter auf dem schreibtisch stehen, weil irgendein anderes programm (zum beispiel der webbrauser) mal ein paar tage lang einen ausbeutbaren fehler hatte, der angreifern das vorgehen mit benutzerrechten ermöglicht. Das ist totalschaden.
Für technisch interessierte: ursache des fehlers ist übrigens, dass ein size_t, also ein vorzeichenloser integerwert, einfach in einen int, also einen vorzeichenbehafteten integerwert, umgewandelt wurde — und da bekommt das höchstwertige bit des umgewandelten wertes dann auf einmal eine völlig andere bedeutung, nämlich die des vorzeichens einer zahl in zweierkomplementdarstellung. (Einmal ganz davon abgesehen, dass der size_t auf 64-bit-systemen ein 64-bittiger wert ist, der int hingegen auch ein 32-bittiger wert sein kann.) Klassische hilfsmittel zur statischen kohdprüfung, also so etwas wie der olle lint oder sein Freier nachbau splint, hätten diesen fehler gefunden und eine deutlich formulierte warnung ausgegeben, wenn sie verwendet worden wären. Aber wer mag schon tausende von warnungen lesen und einzeln überprüfen, von denen die meisten irrelevant sind? (Dieser lint ist extrem pedantisch.) Und deshalb geht man beinahe nirgends so vor. Und deshalb haben wir wackelige, angreifbare, fehlerhafte scheißsoftwäjhr, und zwar in so ziemlich jedem bereich der EDV und damit in jedem bereich unseres lebens. Aber hauptsache, es gibt alle sex monate irgendein neues funkzjonsmerkmal, das kein mensch vorher vermisst hat!
Endlich!
Endlich gibt es eine gute laufzeitumgebung für diese ganzen linux-programme!!1!
*ganzschnellwegduck!*
Kurz verlinkt
Warum ändräut das schlechteste linux ist… aber hej, die leute finden es doch geil.
Aber linux ist doch viiiiel sichererer als windohs…
Na, habt ihr alle mitgekriegt, wie man auf unbuntu 20.04 an administrator-rechte kommen konnte? Weia! Inzwischen ist der fehler behoben.
Ich habe ja munkeln gehört, dass einige menschen aus für mich nicht nachvollziehbaren gründen ihre sörver mit unbuntu betreiben. Dann macht da mal ganz schnell die sicherheitsaktualisierung! 🏃♂️️
Endlich!
Vor rd. fünfundzwanzig jahren wäre es der schritt gewesen, aber jetzt kommt endlich, endlich, endlich der meikrosoft-webbrauser für linux. Wenn ihn schon auf windohs keiner haben will, der noch alle tassen im schrank hat… 😀
Microsoft will start with the Ubuntu and Debian distributions, with support for Fedora and openSUSE coming afterwards
Vor allem mit unbuntu anzufangen, ist eine richtig kluge und gute entscheidung der meikrosofties. Das ist eh schon wie ein windohs für linux. Die freuen sich ganz bestimmt über eine weitere lösung ohne problem.
Security des tages
Zero click remote code execution! Diesmal im Bluetooth-Stack von Linux
Hej, jetzt gebt euren kompjutern mal schön die sicherheitsaktualisierungen. Oh, es gibt gar keine für eure wischofone? Tja, dann kauft halt neue! Ist schon scheiße, wenn man enteignet und gegängelt wird und nicht mehr das recht eingeräumt bekommt, auf seinem gekauften und mit strom versorgten kompjuter diejenige softwäjhr auszuführen, die man für richtig hält. So schade, dass euch keiner vorher gewarnt hat…
Aber linux ist doch sicher…
Amnesty entdeckt bislang unbekannte FinSpy-Spionagesoftware für Linux und macOS
Ein dank an die unrechtsstaaten, die staatstrojaner von solchen windigen cyberverbrecherklitschen wie finfisher kaufen, statt mit aller kraft und möglichkeit darauf hinzuwirken, dass kompjuter so sicher und vertrauenswürdig wie möglich sind, und die damit letztlich nur die internetzkriminalität fördern. Ein dank für nichts. Arschlöcher! 🖕
Ja, auch du bist gemeint, du keines stinkendes mieses arschloch von schreibtischtäter, der du bei diesem unrecht einfach mitmachst. Geh sterben, du feind!
Gruß auch an die onleindurchsuchungsfantasien in BRD-innenministerjen.
Schwerdtfegr (beta) 