Aber linux ist doch viel sicherer…

…das ist doch diese freie software, wo jeder in die offenen kwältexte schaut, so dass jedes sicherheitsloch gefunden wird:

Dateimanager Midnight Commander seit neun Jahren angreifbar

Wie aus einer Mailing-Liste hervorgeht, wurde die Lücke (CVE-2021-36370) im Zuge einer Prüfung der Software (Audit) in der SFTP-VFS-Komponente entdeckt. Dabei fiel auf, dass die Fingerprints von entfernten Hosts zwar berechnet, aber nicht überprüft werden

🤦‍♂️️

Wer mit seinem mc nur lokal daten umherschiebt, sollte auf der sicheren seite sein. Aber aktualisiert trotzdem! Nur ein gefixter fehler ist ein guter fehler. Und SFTP mit dem mc ist echt praktisch. 😉

Aber linux ist doch sicher…

Viele Linux-Distributionen sind in den Standardeinstellungen verwundbar. Nach erfolgreichen Attacken könnten sich Angreifer Root-Rechte aneignen. In dieser Position könnten sie Systeme in der Regel vollständig kompromittieren. Sicherheitspatches sind verfügbar

Also holt euch mal schön den gepätschten kernel ab! Ach ja: und den gepätschten systemd! Der hat auch ein klitzekleines ausbeutbares fehlerchen, mit dem man euch den kompjuter mindestens abschießen kann! Bei den größeren distributoren liegt alles schon bereit, ihr braucht nur zu klicken, ist ganz einfach und geht auch halbwegs schnell…

Es ist übrigens nicht ganz so einfach, den fehler auszulösen, wie es die kwalitätsjornalisten vom ehemaligen fachmagazin aus der karl-wiechert-allee als eindruck erwecken. Man muss ein dateisystem mounten, das (deutlich) größer als vier gibibyte ist (das kann natürlich auch eine mit dd angelegte datei sein, der man mit makefs ein dateisystem gegeben hat, wir benutzen ja das sehr flexible linux) und darin eine verzeichnisstruktur anlegen, in der ein pfad mit einer länge von über einem gibibyte auftritt. Dafür würden schätzungsweise eine milljon inodes benutzt. Wenn man mit benutzerrechten nicht mounten kann, kann das auch kein trojaner exploiten — und praktisch jeder sörverrechner wird so konfiguriert sein. Aber trotzdem ist das ein ziemlich böser (und etwas dummer) fehler, der weg muss. Arbeitsrechner sind wesentlich weniger restriktiv als sörver konfiguriert und hier die eigentliche angriffsfläche. Niemand hat gern einen mit rootkit und fernsteuerschnittstelle gepwnten kompjuter auf dem schreibtisch stehen, weil irgendein anderes programm (zum beispiel der webbrauser) mal ein paar tage lang einen ausbeutbaren fehler hatte, der angreifern das vorgehen mit benutzerrechten ermöglicht. Das ist totalschaden.

Für technisch interessierte: ursache des fehlers ist übrigens, dass ein size_t, also ein vorzeichenloser integerwert, einfach in einen int, also einen vorzeichenbehafteten integerwert, umgewandelt wurde — und da bekommt das höchstwertige bit des umgewandelten wertes dann auf einmal eine völlig andere bedeutung, nämlich die des vorzeichens einer zahl in zweierkomplementdarstellung. (Einmal ganz davon abgesehen, dass der size_t auf 64-bit-systemen ein 64-bittiger wert ist, der int hingegen auch ein 32-bittiger wert sein kann.) Klassische hilfsmittel zur statischen kohdprüfung, also so etwas wie der olle lint oder sein Freier nachbau splint, hätten diesen fehler gefunden und eine deutlich formulierte warnung ausgegeben, wenn sie verwendet worden wären. Aber wer mag schon tausende von warnungen lesen und einzeln überprüfen, von denen die meisten irrelevant sind? (Dieser lint ist extrem pedantisch.) Und deshalb geht man beinahe nirgends so vor. Und deshalb haben wir wackelige, angreifbare, fehlerhafte scheißsoftwäjhr, und zwar in so ziemlich jedem bereich der EDV und damit in jedem bereich unseres lebens. Aber hauptsache, es gibt alle sex monate irgendein neues funkzjonsmerkmal, das kein mensch vorher vermisst hat!

Aber linux ist doch viiiiel sichererer als windohs…

Na, habt ihr alle mitgekriegt, wie man auf unbuntu 20.04 an administrator-rechte kommen konnte? Weia! Inzwischen ist der fehler behoben.

Ich habe ja munkeln gehört, dass einige menschen aus für mich nicht nachvollziehbaren gründen ihre sörver mit unbuntu betreiben. Dann macht da mal ganz schnell die sicherheitsaktualisierung! 🏃‍♂️️

Endlich!

Vor rd. fünfundzwanzig jahren wäre es der schritt gewesen, aber jetzt kommt endlich, endlich, endlich der meikrosoft-webbrauser für linux. Wenn ihn schon auf windohs keiner haben will, der noch alle tassen im schrank hat… 😀

Microsoft will start with the Ubuntu and Debian distributions, with support for Fedora and openSUSE coming afterwards

Vor allem mit unbuntu anzufangen, ist eine richtig kluge und gute entscheidung der meikrosofties. Das ist eh schon wie ein windohs für linux. Die freuen sich ganz bestimmt über eine weitere lösung ohne problem.

Security des tages

Zero click remote code execution! Diesmal im Bluetooth-Stack von Linux

Hej, jetzt gebt euren kompjutern mal schön die sicherheitsaktualisierungen. Oh, es gibt gar keine für eure wischofone? Tja, dann kauft halt neue! Ist schon scheiße, wenn man enteignet und gegängelt wird und nicht mehr das recht eingeräumt bekommt, auf seinem gekauften und mit strom versorgten kompjuter diejenige softwäjhr auszuführen, die man für richtig hält. So schade, dass euch keiner vorher gewarnt hat…

Aber linux ist doch sicher…

Amnesty entdeckt bislang unbekannte FinSpy-Spionagesoftware für Linux und macOS

Ein dank an die unrechtsstaaten, die staatstrojaner von solchen windigen cyberverbrecherklitschen wie finfisher kaufen, statt mit aller kraft und möglichkeit darauf hinzuwirken, dass kompjuter so sicher und vertrauenswürdig wie möglich sind, und die damit letztlich nur die internetzkriminalität fördern. Ein dank für nichts. Arschlöcher! 🖕

Ja, auch du bist gemeint, du keines stinkendes mieses arschloch von schreibtischtäter, der du bei diesem unrecht einfach mitmachst. Geh sterben, du feind!

Gruß auch an die onleindurchsuchungsfantasien in BRD-innenministerjen.

Juchu, GNOME-desktop wird jetzt viel besser!

Die nächste, im März 2021 erwartete GNOME-Version wird nicht GNOME 3.40 heißen, sondern GNOME 40

Mit sehnsucht blicke ich in die zeiten zurück, in denen versjonsnummern keine marketing-imitazjon waren, sondern einen eindruck vom versjonsstand und möglichen problemen bei der kompatibilität mit nicht mehr so toll gepflegter softwäjhr gaben. Endlich hat sich auch GNOME am wettrennen um die erste dreistellige versjonsnummer beteiligt, die dann viel klarer und einfacher zu erfassen sein soll als eine dreiteilige versjonsnummer mit halbwegs klarer bedeutung ihrer komponenten. Und, was macht man jetzt mit betaversjonen?

Es wird aber nicht nur das Versionsschema angepasst, auch die Zahl der Vorabversionen wird überholt. Künftig wird es derer nur noch drei geben, die für die kommende Ausgabe 40.alpha, 40.beta und 40.rc heißen werden

Alle erste-welt-probleme rund um den GNOME-desktop sind gelöst!

Aber mein linux ist doch sicher

Mittels […] Fuzzing haben Sicherheitsforscher insgesamt 26 Programmierfehler in USB-Treibern entdeckt. 18 davon betreffen verschiedene Linux-Kernelversionen; wiederum zehn dieser Linux-Bugs erhielten aufgrund von ihnen ausgehender hoher Sicherheitsrisiken CVE-Nummern. Vier weitere Bugs betreffen Windows 8 und 10, drei stecken in macOS 10.15 Catalina und einer im freien BSD-Derivat FreeBSD 12 […] Für elf der Linux-Bugs übermittelten die Forscher – teils schon Ende 2018 – Patches, die in die Kernel-Entwicklung einflossen

Eine für einen an- und vorgeblichen fachverlag extrem peinliche formulierung habe ich im zitat ausgelassen. Denn „automatisierte tests“ gibt es viele, und „fuzzing“ ist etwas sehr spezjelles, nämlich, kohd mit kwasi-zufälligen daten zu konfrontieren, um mal zu schauen, wie „gut“ die fehlerbehandlung ist.

Aber schön, dass die fehler seit anderthalb jahren gefixt sind.

Und schön, dass die ganzen ändräut-telefone alle einen aktualisierten linux-kern gekriegt haben. Oh, haben sie nicht? Na, dann viel spaß mit irgendwelchen billigen china-dingern, die ihr an eure wischofone dranstöpselt, zum beispiel diese externen batterien! Und immer schön mit dem wischofon bezahlen und die fernkontoführung damit machen! Demnächst auch eure gesundheitsdaten damit verwalten!

Security des tages

Was hat uns denn allen noch ganz dringend gefehlt? Richtig: ein verschlüsselnder erpressungstrojaner, der in einer virtuellen maschine läuft, um sich vorm zugriff durch antivirus-schlangenöl zu schützen. Das ist eine menge aufwand, und vor allem viel mehr, als zurzeit nötig ist, um privatleuten und kleinen mittelständlern geld abzupressen. Aber schön, mal zu hören, womit die verbrecher so rumspielen.

(Und hej, dank virtualisierung lässt sich dieser etwas schwergewichtige trojaner kinderleicht auf linux portieren… nur mal so als hinweis für alle angemerkt, die sich zu sicher fühlen. Gefühlte sicherheit ist gefährlich. Seid lieber vorsichtig und benutzt eure gehirne. Zum glück ist es unter linux viel schwieriger, einen anwender dazu zu bringen, ein programm auszuführen, weil es dafür mehr als nur einen dateinamen braucht.)

Ausrede des tages

Huawei so: dieser versuch, da eine hintertür in den linux-kernel zu verbauen, damit haben wir nix zu tun, das war nur einer unserer mitarbeiter, der das auf eigene faust gemacht hat.

Ich will mal hoffen, dass die pätsches von unternehmen aus dem weltüberwachungsstaat USA genau so gut untersucht werden! Ich persönlich habe sowohl zu IBM, als auch zu guhgell, als auch zu meikrosoft deutlich weniger vertrauen als zu huawei.

Endlich!

Endlich gibt es auch für mein immer weniger geliebtes, aber immer noch jeden tag benutztes linux ein hochwirksames kwalitäts-schlangenöl. Ich konnte es schon gar nicht mehr erwarten!!!1!!elf!

Mal schauen, wie viele idjoten sich die gefühlte sicherheit andrehen lassen. Von einer klitsche aus dem NSA-faschismusstaat, die nicht einmal ihr eigenes betrübssystem in einen einigermaßen vertrauenswürdigen zustand bringt, sondern es lieber mit meist unerwünschten überwachungs-, träcking- und datensammelfunkzjonen anreichert. Und mal schauen, wann die erste schadsoftwäjhr kommt, die eine schwäche in dem tief ins system eingreifenden schlangenöl ausnutzt. 😀

Meikrosoft offißß auf linux hätten sich ja sicherlich so einige leute geholt.

Geschichten aus der adminhölle

Wisst ihr noch, damals, als man mit diesem GNU/linux noch ein stabiles und funkzjonierendes system aufbauen konnte und auf dieser grundlage sogar dienstleistungen anbieten konnte? Diese zeiten, als ein sörver monatelang problemlos durchlief und eine sicherheitsaktualisierung auch nicht das ganz dicke problem war? Inzwischen ist systemd, die schönen zeiten sind vorbei und man liest immer wieder einmal geschichten aus der hölle für administratoren. 😦

Bisher ist es uns nicht gelungen, dem ChangeLog und den dort verlinkten Bugzilla-Einträgen zu entnehmen, was genau hier passiert sein könnte. Ein Fehler unserer systemd-Service-Konfiguration ist zumindest einigermaßen unwahrscheinlich: Die hat sich zwischen Up- und Downgrade ja nicht geändert; das Verhalten von systemd allerdings schon. Eine Funktionalität, bei der systemd ohne Veranlassung von außen beginnt, Services zu stoppen, erscheint auch nicht wirklich ein „Feature“ zu sein, sondern eher ein Bug, der sich offenbar eingeschlichen hat und nur unter bestimmten Konstellationen zur Ausführung kommt

Ich mag ja die sprechende URL, die uns immer noch verrät, dass der veröffentlichte text ursprünglich mit „systemd anzünden“ überschrieben war. 🔥