Veni, Vidi, VISA

Nachdem ich im vorherigen Eintrag geschrieben habe das ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht, haben mich schon einige Mails erreicht wo mir erklärt wurde, das man auch Linux auf solchen Systemen verwenden kann.
Stimmt auffallend. Die Frage ist nur ob man das auch wirklich will? Das kein System wirklich sicher ist, steht außer Frage (mal XTS-400 und diverse TCSEC-B1 - Systeme mal außer Acht gelassen) und das Sicherheitslücken gefunden werden lässt sich bei komplexen Systemen nicht vermeiden. Aber was ein absolutes KO-Kriterium sein kann, ist, wie auch gefundene Sicherheitslücken reagiert wird. Bei *BSD (damit ich mich auch den vorherigen Eintrag beziehe) gibt es dafür Mailinglisten und Advisories auf der Homepage wo man sich informieren bzw. auf dem laufenden halten kann. Bei Linux gibt es weder noch; nur einen kurzen Log im git-log. Gut.. besser als nix werden sich jetzt einige denken, aber das ist für Admins alles andere als auch nur irgendwie brauchbar. Ein Admin hat i. d. R. keine Zeit um sich ein Repo zu clonen und dort in den Shortlogs nach Änderungen Ausschau zu halten die sich auf Sicherheitslücken beziehen. Und - auch wenn ich jetzt einige enttäuschen muss - es bringt auch nicht viel das z. B. Debian die Mailingliste debian-security-announce@ hat, wo man über Sicherheitslücken benachrichtigt wird. Deren Aufgabe ist es, Patche über ihr Paketmanagementsystem verfügbar zu machen, damit sie eingespielt werden können. Aber das können sie erst, nachdem der Patch auch verfügbar ist.
Wenn eine bekannte Sicherheitslücke über zwei Monate lang nicht behoben wird, dann ist das absolut untragbar und die Tatsache das in keiner Art und Weise veröffentlicht wird, dass es sich um die Behebung eines sicherheitsrelevanten Bugs handelt, ist für mich ein Grund meinen Kunden Linux auf sicherheitsrelevanten Systemen als letzte Möglichkeit zu empfehlen (und selbst da nur mit Einschränkungen).

Vim 7.3 Announcement. Was genau geändert wurde, kann man unter :h version-7.3 nachlesen.. mehr oder weniger.. eigentlich mehr weniger, weil es wieder mal keinen brauchbaren Changelog gibt *sigh*


Und eine Sicherheitslücke im Linuxkernel wurde geschlossen. Nach zwei Monaten. Und selbstverständlich ohne irgendeinen Hinweis darauf das es eine Sicherheitslücke war. Hey.. geht ja nur um das kleine Problem das lokale User root-Rechte erreichen können. Langsam wird es echt mal Zeit das jemand einen funktionierenden Fork von Linux rausbringt; allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht.

http://www.gulli.com/news/root-exploit-im-linux-kernel-entdeckt-2009-11-04
Dem Software-Entwickler Brad Spengler ist es gelungen, einen gefährlichen Bug in allen aktuell produktiv eingesetzten Versionen des Linux-Kernels zu finden. Dieser könnte normalen Benutzern erlauben, Root-Rechte zu erlangen.

Der sogenannte "Null Pointer Dereference Flaw" tritt in allen Versionen des Linux-Kernels bis zum aktuellen Release Candidate 2.6.32 auf. Dies bedeutet, dass praktisch jede produktiv eingesetzte Linux-Maschine verwundbar ist - denn wer setzt schon einen RC produktiv ein? Zwar gibt es eine Möglichkeit, die Ausnutzung der Schwachstelle zu verhindern (es muss das Feature "mmap_min_addr" benutzt werden). Dieses ist jedoch bei Red Hat Enterprise Linux (RHEL), einer populären Linux-Distribution für den professionellen Einsatz, offenbar fehlerhaft implementiert und bietet daher keinen Schutz. Auch zahlreiche Software-Entwickler-Tools sowie das auf Desktop-Systemen beliebte Tool Wine zur Ausführung von Windows-Programmen verhindern eine Nutzung des Features. Dieses ist daher auf zahlreichen Linux-Rechnern deaktiviert. So könnte die Anzahl verwundbarer Rechner beunruhigend hoch sein.

Spengler kritisiert nicht nur die Verantwortlichen von RHEL für ihre fehlerhafte Implementierung der Schutzfunktion (offenbar dem Wunsch nach mehr Kompatibilität geschuldet). Auch an den Entwicklern des Linux-Kernels und ihrem Umgang mit Sicherheitsthemen übt er Kritik. "Ich finde es interessant, dass ich [den Bug] zwei Wochen vor den Leuten gefunden habe, deren Job es ist, so ein Zeug zu finden," sagte er am gestrigen Dienstag, "Sie haben ganze Teams von Leuten und ich bin nur eine Person, die das in ihrer Freizeit macht." Dies ist nicht das erste Mal, dass Spengler die Linux-Kernel-Entwickler für Sicherheitslücken und auch für mangelnde Transparenz beim Bekanntgeben gestopfter Lücken kritisiert.

Quelle: The Register

Linux saugt immer mehr; kann das mal bitte jemand fork()'en oder die dafür zuständigen Leute erschlagen? Danke!

Kaum empfehle ich mal Debian, schon taucht ein Exploit dafuer auf. Und was fuer ein gefaehrliches. Man muss nur jemandem der in der Gruppe utmp ist dazu bringen chgrp utmp /tmp/fillutmp; chmod 2755 /tmp/fillutmp und schon funktioniert es. Gefaehrlich das.. zumal per Default root der einzige User ist der die Gruppe fuer /tmp/fillutmp auf utmp aendern koennte.

http://secunia.com/advisories/26347/ bzw. http://blog.s9y.org/archives/178-Serendipity-1.1.4-released,-security-bug-in-entryproperties-plugin.html; ein neues Release indem der Bug behoben wurde, steht mit Serendipity 1.1.4 zum Download bereit.

• WordPress "style" Cross-Site Scripting
• New Wordpress 2.2.1 Vulnerabilities and the First Weblog XSS Worm

(via EDV - Ende der Vernunft))

Aber keine Angst! In Version 2.2.2 sind diese Bugs behoben und alles wird besser. 2.2.2 kommt auch bald! Gut das wenigstens die Zeit relativ ist :>

Ich update lieber halbjaehrlich ein Theme anstatt monatlich Wordpress. btw. Wird eh mal wieder Zeit das ein neues Exploit rauskommt. Ich tippe mal auf ~neun Tage.
#1.1.1.1 strcat (Homepage) am 05.07.2007 22:48

http://secunia.com/advisories/26116/ Jetzt gibt es sogar schon Exploit fuer Wordpress-Themes. Na wenn das mal kein geiles Feature ist. Wordpress ist sicherheitstechnisch noch bedenklicher als sendmail, bind, wuftpd und der Internet Explorer zusammen, aber wayne.. Milliarden Fliegen..

http://blog.s9y.org/archives/173-Serendipity-1.1.3-and-1.2-beta2-released-due-to-SQL-exploit.html

10:1 das es einen DATABASE_ERROR gibt wenn ich Update *narf*

Grad bei milw0rm gefunden http://www.milw0rm.com/exploits/4039. Gibts eigentlich noch keinen Wordpress-only-Admin? Wenn ich mir http://secunia.com/search/?search=wordpress so angucke, waere das doch nahe liegend bzw. eine Marktluecke. Naja.. jeder hat so seine Hobbys. Der eine updatet Wordpress, der andere laesst sich auspeitschen, ..

http://secunia.com/advisories/25024/ und http://marc.info/?l=vim-dev&m=117762581821298&w=2

Bevor jetzt wieder irgendwelche Holy wars ausgefochten werden.. Jungs.. das Exploit ist genauso schlimm wie das "modeline-Exploit". Man muss Vim erst passend konfigurieren, damit das

vim: fdm=expr fde=feedkeys("\\:!touch\ phantom_was_here\\<cr>")

funktioniert. Also :set modeline. Ist aber allseits bekannt das man jede Software "unsicher konfigurieren" kann.