Devuan 3.0 wurde veröffentlicht. Fühlt sich an wie debian, kommt aber ohne diese ranzige systemd-krüppelscheiße, mit der die debian-leute die welt beglücken wollen. Wer hat schon lust auf einen zickigen sörver? 😉
Schlagwort-Archive: Linux
Aber mein linux ist doch sicher
Eine für einen an- und vorgeblichen fachverlag extrem peinliche formulierung habe ich im zitat ausgelassen. Denn „automatisierte tests“ gibt es viele, und „fuzzing“ ist etwas sehr spezjelles, nämlich, kohd mit kwasi-zufälligen daten zu konfrontieren, um mal zu schauen, wie „gut“ die fehlerbehandlung ist.
Aber schön, dass die fehler seit anderthalb jahren gefixt sind.
Und schön, dass die ganzen ändräut-telefone alle einen aktualisierten linux-kern gekriegt haben. Oh, haben sie nicht? Na, dann viel spaß mit irgendwelchen billigen china-dingern, die ihr an eure wischofone dranstöpselt, zum beispiel diese externen batterien! Und immer schön mit dem wischofon bezahlen und die fernkontoführung damit machen! Demnächst auch eure gesundheitsdaten damit verwalten!
Security des tages
Was hat uns denn allen noch ganz dringend gefehlt? Richtig: ein verschlüsselnder erpressungstrojaner, der in einer virtuellen maschine läuft, um sich vorm zugriff durch antivirus-schlangenöl zu schützen. Das ist eine menge aufwand, und vor allem viel mehr, als zurzeit nötig ist, um privatleuten und kleinen mittelständlern geld abzupressen. Aber schön, mal zu hören, womit die verbrecher so rumspielen.
(Und hej, dank virtualisierung lässt sich dieser etwas schwergewichtige trojaner kinderleicht auf linux portieren… nur mal so als hinweis für alle angemerkt, die sich zu sicher fühlen. Gefühlte sicherheit ist gefährlich. Seid lieber vorsichtig und benutzt eure gehirne. Zum glück ist es unter linux viel schwieriger, einen anwender dazu zu bringen, ein programm auszuführen, weil es dafür mehr als nur einen dateinamen braucht.)
Ausrede des tages
Huawei so: dieser versuch, da eine hintertür in den linux-kernel zu verbauen, damit haben wir nix zu tun, das war nur einer unserer mitarbeiter, der das auf eigene faust gemacht hat.
Ich will mal hoffen, dass die pätsches von unternehmen aus dem weltüberwachungsstaat USA genau so gut untersucht werden! Ich persönlich habe sowohl zu IBM, als auch zu guhgell, als auch zu meikrosoft deutlich weniger vertrauen als zu huawei.
Security des tages
Endlich!
Endlich gibt es auch für mein immer weniger geliebtes, aber immer noch jeden tag benutztes linux ein hochwirksames kwalitäts-schlangenöl. Ich konnte es schon gar nicht mehr erwarten!!!1!!elf!
Mal schauen, wie viele idjoten sich die gefühlte sicherheit andrehen lassen. Von einer klitsche aus dem NSA-faschismusstaat, die nicht einmal ihr eigenes betrübssystem in einen einigermaßen vertrauenswürdigen zustand bringt, sondern es lieber mit meist unerwünschten überwachungs-, träcking- und datensammelfunkzjonen anreichert. Und mal schauen, wann die erste schadsoftwäjhr kommt, die eine schwäche in dem tief ins system eingreifenden schlangenöl ausnutzt. 😀
Meikrosoft offißß auf linux hätten sich ja sicherlich so einige leute geholt.
Geschichten aus der adminhölle
Wisst ihr noch, damals, als man mit diesem GNU/linux noch ein stabiles und funkzjonierendes system aufbauen konnte und auf dieser grundlage sogar dienstleistungen anbieten konnte? Diese zeiten, als ein sörver monatelang problemlos durchlief und eine sicherheitsaktualisierung auch nicht das ganz dicke problem war? Inzwischen ist systemd, die schönen zeiten sind vorbei und man liest immer wieder einmal geschichten aus der hölle für administratoren. 😦
Bisher ist es uns nicht gelungen, dem ChangeLog und den dort verlinkten Bugzilla-Einträgen zu entnehmen, was genau hier passiert sein könnte. Ein Fehler unserer systemd-Service-Konfiguration ist zumindest einigermaßen unwahrscheinlich: Die hat sich zwischen Up- und Downgrade ja nicht geändert; das Verhalten von systemd allerdings schon. Eine Funktionalität, bei der systemd ohne Veranlassung von außen beginnt, Services zu stoppen, erscheint auch nicht wirklich ein „Feature“ zu sein, sondern eher ein Bug, der sich offenbar eingeschlichen hat und nur unter bestimmten Konstellationen zur Ausführung kommt
Ich mag ja die sprechende URL, die uns immer noch verrät, dass der veröffentlichte text ursprünglich mit „systemd anzünden“ überschrieben war. 🔥
Aber linux ist doch sicher und fehlerfrei…
Hach ja, wie ich damals gelacht habe, als man die windohs-kisten noch mit einem ping abschießen konnte.
Demnächst…
Demnächst wird man von den vertrumpten USA wohl als feind der freiheit und unterstützer der russen betrachet und behandelt weil man linux benutzt. 😀
Gruß auch an die stadt münchen, der ich noch viel spaß mit windohs 10 wünsche!
Aber linux ist doch sicher…
VW des tages
Hej, VW, ihr widerlichen verbrecher, die ihr in banistan niemals in einen knast kommen werdet! Macht ihr eure betrugssoftwäjhr jetzt auch zu Freier softwäjhr? 
„Aber linux ist doch sicher“ des tages…
Linux des tages
Nutzt hier jemand manjaro linux und hat in den letzten tagen die ganzen aktualisierungen eingespielt, und dabei gab es nur noch probleme mit systemd und systemctl? So erschröckliche fehlermeldungen der art:
==> WARNING: errors were encountered during the build. The image may not be complete.
==> ERROR: binary dependency `libidn2.so.0′ not found for /usr/lib/systemd/system…
Und natürlich sind libidn2 und lib32-libidn2 installiert?
Wenn ihr das system runterfahrt, könnt ihr nur noch mit einer live-DVD rankommen. Da fährt nix mehr richtig hoch. Lasst es also!
Ihr müsst einen daungräjhd machen. (Das hat zumindest in dem einen fall geholfen, den ich gesehen habe und der mir den gestrigen abend versaut hat.)
$ sudo pacman -Syyuu
Auch weiterhin viel spaß mit der verhunzung von linux! Und wenn ihr schon arch linux benutzt, dann nehmt doch bitte einfach das original! Allein schon, weil es da mehr leute gibt, die es ebenfalls nutzen, so dass man bei solchen fehlern auch hilfreiche informazjonen im web findet, und nicht nur die berichte von leuten, die das gleiche scheißproblem haben. Für jemanden, der nicht ganz so erfahren ist, ist das oft kampfentscheidend. Ich weiß ja, dass manjaro behauptet, irgendwie „benutzerfreundlich“ zu sein. Was das schön klingende versprechen wert ist, sieht man an diesem text. Übrigens hat der bei manjaro immer noch verwendete systemd 239 ein paar bedauerliche sicherheitsprobleme mit beliebiger kohd-ausführung als root, natürlich auch übers netzwerk *grusel!*, die im systemd 240 gefixt wurden und bei arch linux schon längst laufen. Aber hej, dafür ist manjaro „benutzerfreundlicher“. Sagt es über sich selbst. Toll! Dann nehmt doch unbuntu, das ist noch viel „benutzerfreundlicher“!
Für mich ist jedenfalls „benutzerfreundlich“ in der selbstreklame von betrübssystemen ein wort, das man am besten mit „lass die finger davon“ übersetzt.
Aber linux ist doch sicher…
Na, benutzt hier jemand eine debianoide linuxdistribuzjon wie etwa unbuntu?
Kritische Sicherheitslücke in Debians Update-Tools
😳
Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten […] Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird
Also schnell die aktualisierung einspielen! Und hoffen, dass man dabei nicht gepwnt wird! Mit windohs wäre das nicht passiert, dass die korrigierte versjon schon verfügbar ist, während noch die heise-artikel mit der warnung getippt werden.
Übrigens liegt das problem nicht an der unverschlüsselten übertragung digital signierter dateien, deren signatur hinterher überprüft wird, wie der fach- und lachverlag heise in seinem alarmartikel überdeutlich den eindruck erweckt, sondern daran…
When the HTTP server responds with a redirect, the worker process returns a 103 Redirect instead of a 201 URI Done, and the parent process uses this response to figure out what resource it should request next […] Unfortunately, the HTTP fetcher process URL-decodes the HTTP Location header and blindly appends it to the 103 Redirect response
…dass einem rückgabewert aus dem internetz ungeprüft vertraut wird. HTTP ermöglicht allerdings einem dritten auf der leitung (zum beispiel der NSA oder unseren werten verfassungsfeinden aus den innenministerjen) darin ohne nennenswerten aufwand nach herzenslust herumzumanipulieren, ohne dass diese manipulazjon auf dem transportweg erkennbar ist.
Wenn ich die kwellen für so eine meldung lesen muss, um zu verstehen, um was zum hackenden henker es überhaupt in wirklichkeit geht, dann kann sich der werte herr jornalist sein alarmierendes und verdummendes geschreibsel der marke „mit HTTPS wäre das nicht passiert“ auch gern mal dahin stecken, wo keines sönnchens strahl die kotigen massen zu durchdringen vermag. Generell sind eingaben aller art zu überprüfen. In jeder verdammten softwäjhr. Auch bei HTTPS. Vor allem, wenn es um so etwas heikles wie die auslieferung von sicherheitsaktualisierungen geht.
Man könnte sogar andersherum argumentieren (natürlich nicht völlig ernstgemeint): HTTPS hätte die erkennung dieses fürchterlichen fehlers (oder dieser von einem geheimdienstlich bezahlten halunken in apt verbauten hintertür) erschwert oder verhindert. Im debian-projekt hat ja wohl auch in den letzten jahren niemand beim intensiven lesen der quältexte von selbst diese schwachstelle bemerkt, und das wäre in den kommenden jahren eher nicht besser geworden…
Meine fresse, heise!
Ja, TLS ist trotz aller seiner probleme wichtig. Aber es löst nicht alle probleme. Ein dummer fehler ist ein dummer fehler ist ein dummer fehler. Der passiert. Der muss korrigiert werden. Der wird korrigiert. Das kann man nicht durch TLS ersetzen. Das kann man durch gar nix ersetzen.
Weia!
Aber linux ist doch sicher…
Weia!
Aber dafür wurde das… ähm… kleine problem sicherlich schnell gefunden, die kwelltexte liegen ja offen:
Die drei Lücken existieren schon seit Jahren im Code des Init-Systems, die älteste stammt aus Systemd v38 von Ende 2011
Weia!
Immerhin muss man im moment noch die möglichkeit haben, irgendwie mit anwenderrechten auf dem rechner zu arbeiten, um root zu werden. Deshalb gibt man ja auch nicht jedem das recht zur anmeldung. 😉
Früher, als versjonsnummern noch bedeutung transportierten…
Kommen sie, herr Torvalds, bis sie die (bedeutungsfreien) hohen versjonsnummern von feierfox und krohm überholen, müssen sie aber noch eine menge neuer versjonen machen… 😀
Übrigens: dass herr Torvalds mit seinen fingern und zehen nur bis zwanzig zählen könne, ist eine ausgesprochen faule ausrede. Ich kann allein mit meinen zehn fingern bis 1023 zählen, und wer einen betrübssystemkern schreibt, sollte wissen, was das binärsystem ist.
Linux des tages
Benutzt hier jemand debian unstable (oder einen debian-abkömmling wie etwa unbuntu) mit systemd und den KDE als desktop (oder irgendeinen anderen desktop, lädt aber die KDE-biblioteken schon einmal zum start des desktops, damit KDE-programme schnell starten)? Der systemd ist da gerade kaputt und der KDE braucht eine kleine ewigkeit zum starten.
Package: systemd
Version: 240-1
Severity: critical
Justification: breaks unrelated softwareAfter upgrading to 240 version, all my system started to take ages to boot. It seems related to disk mapping first and then kdeinit5 is stuck for nearly 5 minutes at 100 cpu.
Downgrading to 239.15 fixes eveyting back. THe report is done from a restaures 239.15 version.
Ich habe das problem gerade mit einem XFCE vor mir gehabt, der die KDE-biblotheken zum start lädt. Das hat auf der müden kiste eines mitmenschen acht verdammte minuten gedauert. Für einen eher schlanken desktop ist das eine völlig inakzeptable wartezeit. Fröhliche weihnachten, kann man da nur sagen…
Wer ebenfalls einen XFCE benutzt und gerade so lange auf seine klickoberfläche warten muss, dass man währenddessen den hund zum scheißen auf die straße schleifen könnte, sollte vielleicht am ende der wartezeit mal unter einstellungen ▷ sitzung und startverhalten ▷ fortgeschritten sämtliche häkchen wegmachen. Damit sollte der XFCE erstmal wieder benutzbar sein. Zu schade, dass debian unbedingt diese systemd-krüppelscheiße nehmen musste! Aber für argumente war und ist dort halt niemand mehr zugänglich.
Linux des tages
Nimm linux, haben sie gesagt. Da kommt es nicht zu problemen, wenn der rechner mal richtig unter last steht, haben sie gesagt.
Na ja, werden ja vor allem sörver mit linux betrieben, und wann stehen die schon mal unter last…
