Veni, Vidi, VISA

Eine gerade behobene Sicherheitslücke im Linux-Kernel ermöglichte es allen Benutzern, Root-Rechte zu erhalten, wenn sie Code auf dem betreffenden System ausführen konnten. Die größten Probleme an dieser Lücke ist indes nicht die Zeit bis zur Korrektur, sondern die Zeit bis zu ihrer Entdeckung und fehlende Aktualisierungen für viele Systeme.

In den letzten Tagen wurde eine jüngst entdeckte Sicherheitslücke in allen noch unterstützten Linux-Kernel-Versionen geschlossen, die als CVE-2016-5195 registriert wurde.
[...]
Entdeckt wurde der Fehler von Phil Oester von Red Hat, die Korrektur kam von Linus Torvalds und wurde mittlerweile in alle noch unterstützten Versionen des Kernels übernommen. Torvalds schreibt dazu, dass der Fehler seit etwa elf Jahren existiert, als Linux 2.6.22 aktuell war. Damals war das Problem rein theoretischer Natur, und ein Versuch, es zu beheben, führte zu Problemen auf der s390-Architektur, weshalb die Korrektur danach wieder zurückgenommen wurde. In der Zwischenzeit wurde die Speicherverwaltung aber weiterentwickelt, und zu einem unbekannten Zeitpunkt wurde es relativ einfach, den Fehler auszunutzen, um Root-Rechte zu erhalten.
[...]

Quelle: http://www.pro-linux.de/news/1/24096/sicherheitsl%C3%BCcke-im-linux-kernel-erm%C3%B6glicht-lokale-rechteausweitung.html

Ist ja nicht so, als seien solche Sicherheitslücken eine Seltenheit, aber ein seit 11 Jahren bestehender Bug ist dann sogar für Linux neuer Rekord. Wird wirklich Zeit das mal jemand einen funktionierenden Fork von dem Müll rausbringt oder die Hardwarekompatibilität von *BSD auf das gleiche Level bringt; dann könnte man auf den Kernelschrott von Linux endlich verzichten.

On Sept 19, 2016 at approximately 10:00PM (PDT), one of North Korea's top level nameservers was accidentally configured to allow global DNS zone transfers. This allows anyone who performs an AXFR (zone transfer) request to the country's ns2.kptc.kp nameserver to get a copy of the nation's top level DNS data. This was detected by the TLDR Project - an effort to attempt zone transfers against all top level domain (TLD) nameservers every three hours and keep a running Github repo with the resulting data. This data gives us a better picture of North Korea's domains and top level DNS.

Click here for the commit showing this incident.

Quelle: Github und Reddit

Die arme Sau von Admin, die das verbockt hat, tut mir jetzt schon leid.

Entweder die Polizei Dresden hat einen neuen Webdesigner oder sie werden bald einen solchen brauchen (local copy).

Es ist der Traum der Werbeindustrie - und der Albtraum der Datenschützer: Google will Werbekunden künftig detaillierte Informationen über seine Nutzer und ihre Interessen verkaufen. Gerade das neue soziale Netzwerk Google+ lässt sich hierfür besonders gut nutzen.

Quelle: sueddeutsche.de
Damit kann man die Facebooktrottel zu den Googleidioten auf eine Stufe stellen. Sollte mir noch einmal einer dieser technischen Vollpfosten was über "Security" und "Datenschutz" ins Gesicht kotzen, dann kriegt derjenige einen Karnickelfangschlag Die kommen sogar noch vor den MAC-Pfeifen.

Es ist ein Großschlag gegen Urheberrechtsverletzer: Die Staatsanwaltschaft Dresden ermittelt gegen die Streaming-Seite kino.to. Bei Razzien in mehreren europäischen Ländern wurden 13 Personen verhaftet. Ihnen wird die Bildung einer kriminellen Vereinigung vorgeworfen.

Hamburg - Die Polizei hat zum Schlag gegen kino.to ausgeholt: In Deutschland, Spanien, Frankreich und den Niederlanden haben Ermittler am Dienstag zahlreiche Wohnungen, Geschäftsräume und Rechenzentren durchsucht, um die Betreiber des Verzeichnisses und angeschlossener Streaming-Dienste dingfest zu machen. Das teilte die Gesellschaft zur Verfolgung von Urheberrechtsverletzung (GVU) mit. Demnach haben in Deutschland zeitgleich 20 Razzien stattgefunden, mehr als 250 Polizisten und Steuerfahnder waren im Einsatz, unterstützt von 17 Computerexperten.

Quelle: Spiegel Online

250 Polizisten und Steuerfahnder, sowie 17 Computerexperten (aus welchem Loch kommen die eigentlich immer gekrochen?) damit gegen kino.to ermittelt und 13 Leute verhaftet werden konnten? Und die wollen uns gegen Terrorismus und Ehec schützen? Wir sind so gut wie tot!!!111! Ich kann gar nicht soviel essen wie ich kotzen muss.

Hier habe ich schonmal dazu ausführlich Stellung zu meiner Aussage "[...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...]" bezogen, aber anscheinend reicht das immer noch nicht. Einige Debian-Nazis haben mir nämlich u. a. via Mail erklärt das ich keine Ahnung habe und Müll labere, weil Die Sicherheit eines System in erster Linie vom Administrator abhängt.
Nun.. das ist nur die halbe Wahrheit. Es ist korrekt das ein fachlich versierter Admin das gleiche System "sicherer machen kann" als ein Anfänger. Nur ist auch der kompetenteste Admin an das System gebunden. Linux - respektive die Distributionen - sind nicht nach TCSEC evaluiert. Das ist zwar rein theoretisch mit SEL realisierbar, aber mir persönlich ist noch kein einziger Fall bekannt wo das auch gemacht wurde. Und dazu kommen wir gleich zum nächsten Punkt: Nur weil ein System den Vorgaben eines TCSEC/ITSEC-Levels entspricht, ist es noch lange nicht zertifiziert. Das kann nur das BSI. Von daher ist meine Aussage "$FOO ist ein Hochsicherheitssystem und $BAR nicht" vollkommen korrekt. Egal wie sehr das meine lieben Debian-Trottel nervt.

Und nur damit wir uns richtig verstehen: Mit Debian-{Trottel,Nazis} meine ich die "Debian ist krass stabil!" und "Nur für Profis!"- Rumschreier die seit zwei Jahren mit Linux arbeiten und denken sie hätten Ahnung wovon sie reden.


Ahso.. bin vorhin von einem Kurztrip nach Italien zurückgekommen. Einige Fische gefangen, braun geworden, Spaß gehabt und für diesen Herbst nach Spanien zum fischen eingeladen worden.

Nächste Woche gleich Drei. #1 ist für die angehenden Admins von $FIRMA und wie sie bei der Fehlersuche und nach einer Kompromittierung
vorgehen sollten, #2 wieso User Freiwild sind und nichts zu melden haben (ist auch für Admins und handelt darum welche Rechte sie normalen Usern einräumen sollten) und #3 mein Lieblingsthema: Netzwerk- und Passwortsicherheit am Arbeitsplatz. Für #1 und #3 habe ich schon Folien und #2 würde ich am liebsten aus dem Effeff machen, aber wenn es auf der Leinwand nix zu sehen gibt, taugt es nichts *sigh*
Drei Vorträge, drei Firmen und absolut null Bock. Einziger Lichtblick ist, dass die Vorträge alle nur einen halben Tag dauern und zumindest zwei der drei Lehrgangsteilnehmer ausreichend motiviert sind, da sie neu in der Branche sind. Die traurige Wahrheit ist jedoch, dass sich 99% nach einiger Zeit exakt gar nichts mehr darum kümmern und nur noch nach dem works for me-Prinzip arbeiten. Wobei das wiederum den angenehmen Nebeneffekt hat, dass ich nicht arbeitslos werde.

Ich hab gerade folgende Routine in einem Quelltext gefunden
Von daher passt das Bild irgendwie wie die Faust aufs Auge.

Al Bundy: Und niemand versteht wieso ich auf dem Heimweg schreie.

Serendipity bundles the powerful Xinha WYSIWYG editor to provide its functionality to our users.

Xinha ships with several plugins that utilize PHP scripting for special usage, like the ImageManager or ExtendedFileManager. A 0-day security exploit has been reported available as of today that exploits the functionality of these plugins to upload malicious files to your webspace, to execute foreign code.

Since no official patch has been made on the Xinha side, the Serendipity Team has released an updated version where those active Xinha-Plugins are no longer executable.

If you do not wish to apply the patch to the most recent Serendipity version 1.5.5 you can remove those files:

• htmlarea/contrib/php-xinha.php
• htmlarea/plugins/ExtendedFileManager/config.inc.php
• htmlarea/plugins/FormOperations/formmail.php
• htmlarea/plugins/HtmlTidy/html-tidy-logic.php
• htmlarea/plugins/ImageManager/config.inc.php
• htmlarea/plugins/InsertPicture/InsertPicture.php
• htmlarea/plugins/InsertSnippet/snippets.php
• htmlarea/plugins/SpellChecker/aspell_setup.php
• htmlarea/plugins/SpellChecker/spell-check-logic.php
• htmlarea/plugins/SuperClean/tidy.php

The provided functionality is usually not enabled by default, since Serendipity provides its own media file manager.

Future serendipity releases might re-enable these features, once they are safely patched.

To see if you are infected, please check the directories htmlarea/plugins/ImageManager/demo_images and htmlarea/plugins/ExtendedFileManager/demo_images to see if files have been uploaded there. If so, delete the files and check your webspace for other modified files, as well as change your passwords for FTP and SQL access. Please upgrade as soon as possible.

The release can be found on the Serendipity Download page. All serendipity versions from 1.4 to 1.6 (alpha) are affected. 1.6 alpha users should migrate to a recent SVN head checkout or tomorrow's snapshot.

Thanks a lot to Hauser & Wenz for reporting the issue. Serendipity fully acknowledges responsible full disclosure, non-reported 0-day exploits are helping nobody of true OpenSource spirit.

Quelle: http://blog.s9y.org/