10 Jahre alte kritische Lücke in Linux-Kernel-Kryptofunktion entdeckt
😯
Schlagwort-Archive: Linux
Linux des tages
Nutzt hier jemand manjaro linux und hat in den letzten tagen die ganzen aktualisierungen eingespielt, und dabei gab es nur noch probleme mit systemd und systemctl? So erschröckliche fehlermeldungen der art:
==> WARNING: errors were encountered during the build. The image may not be complete.
==> ERROR: binary dependency `libidn2.so.0′ not found for /usr/lib/systemd/system…
Und natürlich sind libidn2 und lib32-libidn2 installiert?
Wenn ihr das system runterfahrt, könnt ihr nur noch mit einer live-DVD rankommen. Da fährt nix mehr richtig hoch. Lasst es also!
Ihr müsst einen daungräjhd machen. (Das hat zumindest in dem einen fall geholfen, den ich gesehen habe und der mir den gestrigen abend versaut hat.)
$ sudo pacman -Syyuu
Auch weiterhin viel spaß mit der verhunzung von linux! Und wenn ihr schon arch linux benutzt, dann nehmt doch bitte einfach das original! Allein schon, weil es da mehr leute gibt, die es ebenfalls nutzen, so dass man bei solchen fehlern auch hilfreiche informazjonen im web findet, und nicht nur die berichte von leuten, die das gleiche scheißproblem haben. Für jemanden, der nicht ganz so erfahren ist, ist das oft kampfentscheidend. Ich weiß ja, dass manjaro behauptet, irgendwie „benutzerfreundlich“ zu sein. Was das schön klingende versprechen wert ist, sieht man an diesem text. Übrigens hat der bei manjaro immer noch verwendete systemd 239 ein paar bedauerliche sicherheitsprobleme mit beliebiger kohd-ausführung als root, natürlich auch übers netzwerk *grusel!*, die im systemd 240 gefixt wurden und bei arch linux schon längst laufen. Aber hej, dafür ist manjaro „benutzerfreundlicher“. Sagt es über sich selbst. Toll! Dann nehmt doch unbuntu, das ist noch viel „benutzerfreundlicher“! 
Für mich ist jedenfalls „benutzerfreundlich“ in der selbstreklame von betrübssystemen ein wort, das man am besten mit „lass die finger davon“ übersetzt.
Aber linux ist doch sicher…
Na, benutzt hier jemand eine debianoide linuxdistribuzjon wie etwa unbuntu?
Kritische Sicherheitslücke in Debians Update-Tools
😳
Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten […] Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird
Also schnell die aktualisierung einspielen! Und hoffen, dass man dabei nicht gepwnt wird! Mit windohs wäre das nicht passiert, dass die korrigierte versjon schon verfügbar ist, während noch die heise-artikel mit der warnung getippt werden.
Übrigens liegt das problem nicht an der unverschlüsselten übertragung digital signierter dateien, deren signatur hinterher überprüft wird, wie der fach- und lachverlag heise in seinem alarmartikel überdeutlich den eindruck erweckt, sondern daran…
When the HTTP server responds with a redirect, the worker process returns a 103 Redirect instead of a 201 URI Done, and the parent process uses this response to figure out what resource it should request next […] Unfortunately, the HTTP fetcher process URL-decodes the HTTP Location header and blindly appends it to the 103 Redirect response
…dass einem rückgabewert aus dem internetz ungeprüft vertraut wird. HTTP ermöglicht allerdings einem dritten auf der leitung (zum beispiel der NSA oder unseren werten verfassungsfeinden aus den innenministerjen) darin ohne nennenswerten aufwand nach herzenslust herumzumanipulieren, ohne dass diese manipulazjon auf dem transportweg erkennbar ist.
Wenn ich die kwellen für so eine meldung lesen muss, um zu verstehen, um was zum hackenden henker es überhaupt in wirklichkeit geht, dann kann sich der werte herr jornalist sein alarmierendes und verdummendes geschreibsel der marke „mit HTTPS wäre das nicht passiert“ auch gern mal dahin stecken, wo keines sönnchens strahl die kotigen massen zu durchdringen vermag. Generell sind eingaben aller art zu überprüfen. In jeder verdammten softwäjhr. Auch bei HTTPS. Vor allem, wenn es um so etwas heikles wie die auslieferung von sicherheitsaktualisierungen geht.
Man könnte sogar andersherum argumentieren (natürlich nicht völlig ernstgemeint): HTTPS hätte die erkennung dieses fürchterlichen fehlers (oder dieser von einem geheimdienstlich bezahlten halunken in apt verbauten hintertür) erschwert oder verhindert. Im debian-projekt hat ja wohl auch in den letzten jahren niemand beim intensiven lesen der quältexte von selbst diese schwachstelle bemerkt, und das wäre in den kommenden jahren eher nicht besser geworden…
Meine fresse, heise!
Ja, TLS ist trotz aller seiner probleme wichtig. Aber es löst nicht alle probleme. Ein dummer fehler ist ein dummer fehler ist ein dummer fehler. Der passiert. Der muss korrigiert werden. Der wird korrigiert. Das kann man nicht durch TLS ersetzen. Das kann man durch gar nix ersetzen.
Weia!
Aber linux ist doch sicher…
Weia!
Aber dafür wurde das… ähm… kleine problem sicherlich schnell gefunden, die kwelltexte liegen ja offen:
Die drei Lücken existieren schon seit Jahren im Code des Init-Systems, die älteste stammt aus Systemd v38 von Ende 2011
Weia!
Immerhin muss man im moment noch die möglichkeit haben, irgendwie mit anwenderrechten auf dem rechner zu arbeiten, um root zu werden. Deshalb gibt man ja auch nicht jedem das recht zur anmeldung. 😉
Früher, als versjonsnummern noch bedeutung transportierten…
Kommen sie, herr Torvalds, bis sie die (bedeutungsfreien) hohen versjonsnummern von feierfox und krohm überholen, müssen sie aber noch eine menge neuer versjonen machen… 😀
Übrigens: dass herr Torvalds mit seinen fingern und zehen nur bis zwanzig zählen könne, ist eine ausgesprochen faule ausrede. Ich kann allein mit meinen zehn fingern bis 1023 zählen, und wer einen betrübssystemkern schreibt, sollte wissen, was das binärsystem ist.
Linux des tages
Benutzt hier jemand debian unstable (oder einen debian-abkömmling wie etwa unbuntu) mit systemd und den KDE als desktop (oder irgendeinen anderen desktop, lädt aber die KDE-biblioteken schon einmal zum start des desktops, damit KDE-programme schnell starten)? Der systemd ist da gerade kaputt und der KDE braucht eine kleine ewigkeit zum starten.
Package: systemd
Version: 240-1
Severity: critical
Justification: breaks unrelated softwareAfter upgrading to 240 version, all my system started to take ages to boot. It seems related to disk mapping first and then kdeinit5 is stuck for nearly 5 minutes at 100 cpu.
Downgrading to 239.15 fixes eveyting back. THe report is done from a restaures 239.15 version.
Ich habe das problem gerade mit einem XFCE vor mir gehabt, der die KDE-biblotheken zum start lädt. Das hat auf der müden kiste eines mitmenschen acht verdammte minuten gedauert. Für einen eher schlanken desktop ist das eine völlig inakzeptable wartezeit. Fröhliche weihnachten, kann man da nur sagen…
Wer ebenfalls einen XFCE benutzt und gerade so lange auf seine klickoberfläche warten muss, dass man währenddessen den hund zum scheißen auf die straße schleifen könnte, sollte vielleicht am ende der wartezeit mal unter einstellungen ▷ sitzung und startverhalten ▷ fortgeschritten sämtliche häkchen wegmachen. Damit sollte der XFCE erstmal wieder benutzbar sein. Zu schade, dass debian unbedingt diese systemd-krüppelscheiße nehmen musste! Aber für argumente war und ist dort halt niemand mehr zugänglich.
Linux des tages
Nimm linux, haben sie gesagt. Da kommt es nicht zu problemen, wenn der rechner mal richtig unter last steht, haben sie gesagt.
Na ja, werden ja vor allem sörver mit linux betrieben, und wann stehen die schon mal unter last…
Für mein linux gibt es keine viren…
Oh! 😯
Wie eine Infektion abläuft, ist zum jetzigen Zeitpunkt unklar
Jedenfalls nicht über eine .pdf.exe-datei. So einfach ist es auf einem linux-desktop nicht, einen anwender zum klicki-klicki-ausführen irgendwelchen kohds zu bringen. Dafür braucht man auch weiterhin windohs. 😀
[…] Der Trojaner nistet sich im Autostart ein
Welches autostart? Es gibt da verdammt viele möglichkeiten… oh, diese linux-sicherheitsmeldung wurde ihnen von windohs-experten ohne linux-kenntnisse präsentiert? Na, dann ist ja alles gut. Deshalb steht auch so viel bullschitt mit drin. Oh, was ist die kwelle für diese tatütata-heisemeldung? Dr. web? Diese schnell aus halbmeldungen aufgeschäumte webseit voller clickbait? Und dort an der kwelle kann ich die alarmmeldung gar nicht mehr finden, weil sie offenbar zurückgezogen wurde? Keine weiteren fragen.
Aber auch linux-nutzer sollten grundsätzlich nicht auf alles klicken, was sich klicken lässt, ihren webbrauser absichern (adblocker, javascript-blocker) und ebenfalls sehr vorsichtig mit mäjhl umgehen. Dass man noch sicherheitslücken aus den jahren 2013 und 2016 offen hat, betrifft hoffentlich niemanden.
Halbtote spritzen sich frisches blut
Man beachte im von heise wiedergegebenen text der PResseerklärung, dass zwar ständig von „open source“, aber niemals von Freier softwäjhr die rede ist.
Systemd des tages
Verbaut den scheiß-systemd in jede verdammte linux-distribuzjon, haben sie gesagt. Der ist robust und sicher genug, haben sie gesagt. Und jeder, der diesen überkomplizierten monoliten ablehnt, weil es ein überkomplizierter monolit und damit das gegenteil von sicherheit ist, ist ein fundamentalist, haben sie gesagt.
Bwahahahahaha!
Da müsste man ja nur noch diese vielen plastikrouter übernehmen, um dann von dort ausgehend bei der vergabe einer IPv6-adresse die PCs zu pwnen. Das ist ganz sicher voll schwierig…
Auch weiterhin viel spaß mit dem systemd!
Linux und SJW des tages
Gar nicht auszudenken, wie viel von den kirre kreischenden einhornarmeen der SJWs kaputtgemacht wurde, wenn jetzt wirklich etliche linux-mitentwickler ihre GPL zurückziehen (sie haben ja weiterhin das urheberrecht an ihrem kohd), so dass ihr kohd nicht mehr verwendet werden kann. [Link geht auf einen englischsprachigen text]
Möge allen ein licht aufgehen: SJWs haben bislang noch nirgends etwas geschaffen. Aber sie haben viel zerstört. Wäre schön, wenn es ihnen mit linux nicht gelingt… obwohl, linux ist jetzt schon kaputt genug, denn solange der kernel nicht völlig verhunzt werden konnte, haben sich die verhunzer tolle dinge wie den systemd ausgedacht. Als verschwörungsteoretiker denke ich da ja oft, dass das von geheimdiensten bezahlt wird…
Und nein, es geht SJWs nicht um toleranz und gerechtigkeit, das ist nur wohlschmeckender überzug auf der zerstörerischen, totalitären gewaltabsicht. Es geht um eine inkwisizjon 2.0, die willkürlich menschen nicht wegen ihres kohds, sondern wegen ihres privatlebens vernichten kann [link geht wieder auf einen englischsprachigen text]. Bei aller vorgeblichen empfindlichkeit wird die hämische freude an der gelungenen zerstörung ganz offen ausgelebt [link geht auf einen archivierten fiepser in englischer sprache]. 😦
Aber die ganzen spiele laufen nicht auf linux…
Warum die da so viel arbeit reingesteckt haben? Keine ahnung. Es wird nicht daran liegen, dass linux inzwischen ein häufiges desktop-betrübssystem ist. Vielleicht wollen die demnächst mal eine konsole vermarkten, ohne lizenzgebühren an meikrosoft abdrücken zu müssen…
Lösung ohne problem des tages
Juchu! Endlich kann man auch als linux-nutzer völlig problemlos softwäjhr installieren…
(Und das besteste daran: endlich kann sich auch jeder mensch mit erhöhter technischer lernunwilligkeit nichtoffizjelle pakete aus irgendwelchen kwellen installieren — da wirds ganz sicher so manches trojanisches päckchen geben. Denn wenn etwas einfacher wird, wird es dabei nie sicherer. Aber es wird eh höchste zeit, dass linux mal den ruf verliert, besonders sicher zu sein…)
Linuxdesktop des tages
GNOME: der linux-desktop ohne desktop.
Leute, wenn ihr nicht zu den jüngsten, wie windohs acht von den wischofon-grabbeloberflächen abgeschauten beglückungsideen der GNOME-entwickler geschubst werden wollt, dann nehmt halt MATE! Oder den spürbar schlankeren XFCE! Da könnt ihr kompjuter weiterhin so bedienen, wie ihr es gewohnt seid, seit ihr kompjuter bedient. Es gibt doch auswahl. Ihr seid nicht auf solche vergewohltätigungen angewiesen.
„Aber linux ist doch sicher“ des tages
Aber linux ist doch sicher…
Github des tages — und natürlich: linux ist sicher!!1!
Immerhin dürfte es eine kleinigkeit sein, den stand vor der manipulazjon wiederherzustellen. Dafür hat man ja versjonsverwaltungssysteme wie git.
Ein hinweis für nichtfreunde des systemd
Devuan 2.0.0 stable ist draußen. Aber lasst euch nicht irreführen, denn auf vielen der mirrors liegt zurzeit immer noch nur der RC herum. Aber wer devuan benutzt, wird sich schon nicht so leicht irreführen lassen… 😉
