Sandbox-Escape: Sicherheitslücke in Flatpak behoben

Wer von Euch Flatpaks einsetzt, möchte jetzt vermutlich gleich mal den Updatebutton drücken: Sandbox-Escape in Flatpak Version < 1.8.5,1.10.0

Sandbox-Escape: Sicherheitslücke in Flatpak behoben

Für alle, die nicht wissen was Flatpaks sind, es handelt sich dabei um distributionsunabhängige Programmpakete, die, sonst würde es keine Sicherheitslücke sein, in sich gekapselte Container sind.

Der Gedanke ist, daß man als Entwickler alles mitliefert was die Anwendung braucht, ohne auf das Betriebssystem angewiesen zu sein. Der Nachteil davon ist … genau das: Jede Anwendung kann Zeug mitbringen, daß komplett veraltet und buggy ist. Deswegen schließen die Containerverwaltungen wie Flatpak, Snap und Docker die Inhalte in eine Sandbox ein, aus der das Programm nur unter bestimmten Vorgaben ausbrechen kann, z.b. um eine Bild-Datei zu öffnen. Dem Programmcode ist es aber nicht erlaubt, außerhalb seiner Sandbox etwas auszuführen.

Sandbox-Ausbruch

Im passenden Advisory steht dazu:

In vulnerable versions, the Flatpak portal service passes caller-specified environment variables to non-sandboxed processes on the host system, and in particular to the „flatpak run“ command that is used to launch the new sandbox instance. A malicious or compromised Flatpak app could set environment variables that are trusted by the „flatpak run“ command, and use them to execute arbitrary code that is not in a sandbox.
https://github.com/flatpak/flatpak/security/advisories/GHSA-4ppf-fxf6-vxg2

Das meint, ein Prozess innerhalb des Flatpaks kann über den DBUS anderen Prozessen Umgebungsvariablen setzen, die diese dann beachten und so aus der Sandbox auszubrechen, obwohl so nur Prozesse gestartet werden sollten, die gleiche oder weniger Rechte haben, als der ausrufende Elternprozess.

Für Fedora ist die abgesicherte Flatpak Version 1.8.5-1 erschienen:

——————————————————————————–
Fedora Update Notification FEDORA-2021-f807eb480a from 2021-01-19 01:50:48.910487
——————————————————————————–
Update Information:

This is a security update that fixes a sandbox escape where a malicious application can execute code outside the sandbox by controlling the environment of the „flatpak run“ command when spawning a sub-sandbox. See the advisory for details: https://github.com/flatpak/flatpak/security/advisories/GHSA-4ppf-fxf6-vxg2
——————————————————————————–

Wer nicht auf Fedora als System setzt, der kann auf 1.8.5 oder 1.10.0 updaten, die beide dagegen gesichert sind.

Wer mehr über Flatpak wissen möchte, kann die Seiten flatpak.org und wiki.gnome.org/Projects/SandboxedApps besuchen.

Supertuxkart auf dem Tablet

Seit einiger Zeit gibt es Supertuxkart mit einem Touch-Eingabegerät, also habe ich es mal ausprobiert … in groß 🙂

Supertuxkart auf dem Tablet

Wer meine Artikelserie zum Pinephone verfolgt hat, hat den Spieleartikel gesehen. Darin ist auch Supertuxkart und seine Problem auf der Fedoraversion des Pinephones beschrieben, z.b. die mangelnde OpenGL3 Funktionalität der Mali400 GPU, was Supertuxkart in den Softwarerendermodus versetzt.

Dies Problem haben wir auf meinem Surface Pro Tablet natürlich nicht:

Ja, es fuhr wirklich

Supertuxkart ist aufgrund der Bedienung auf Multi-Touchsupport angewiesen. Wenn der nicht da ist, dann kann man entweder lenken und Gas geben oder eine der Zusatzfunktionen nutzen, aber nicht beides gleichzeitig. In der Praxis bedeutet es die faktische Unspielbarkeit des beliebten Kartgames.

Zum Glück gibt es Jake Day

Wer sich an die ersten Artikel zum Surface Tablet im Blog erinnert, dem wird der Umstand wieder einfallen, daß es keinen Touchsupport fürs Tablet gab. Jake Day hatte das geändert, in dem er einen eigenen Kernel kompiliert hatte, in dem dieser Makel behoben wurde.

Mit dem alten Jake Day Kernel habe ich dann Supertuxkart so gespielt, wie das vorgesehen war. Leider auch hier nur mit mäßigem Erfolg, da zwar alle Zusatzfunktionen gleichzeitig zum Lenken auslösbar sind, aber die Lenkung selbst das Problem ist. Viel zu oft bleibt das Kart einfach stehen oder lenkt nicht mehr. Ein Lenkrad wie ein echtes Lenkrad zu drehen ist für Touch nicht die beste Lösung. Eine Wippensteuerung wie auf jedem Gamepad wärs gewesen.

Zusammen mit der Pressdruckerkennung des Touchdisplays wäre eine gelungene Steuerung sehr gut möglich gewesen. Vielleicht bekomme ich die Devs ja zu dieser Änderung 🙂

„Energie ist alles!“

Zu den „mechanischen“ Problemen der Steuerung kommt, daß man das Spiel nicht wirklich lange zocken könnte, da es viel zu viel Energie benötigt. Die 4 i7 CPU Kerne werden wegen 3D Berechnung für die 3K Auflösung schnell sehr warm, was die Lüfter dann kompensieren müssen, ein todsicheres Anzeichen für hohen Energieverbrauch 😉

Aber immerhin, für ein bisschen Unterhaltung reicht eine Akkuladung aus 😉 Da das Spiel netzwerkfähig ist, könnt Ihr fast überall mit anderen Zocken, ob Ihr gewinnen werdet, kann bezweifelt werden 😉

Ladet Euch mal das Bild aus dem Artikel runter, dann habt Ihr eine Idee zur Auflösung des Bildschirms. Natürlich kann man Supertuxkart sagen, es soll eine kleinere Auflösung benutzen, aber das das Display die M$ eigene 3:2 Auflösung benutzt, kommt es zu Verzerrungen, wenn man z.b. auf FullHD runterschaltet.

Gyroskopische Steuerung

Auf Android kann man SupertTuxKart tatsächlich über die Lagesteuerung spielen:

[dev] Gyroscope controls in SuperTuxKart, an opensource racing game from AndroidGaming

Das könnte das Problem tatsächlich lösen, da das Surface so groß ist, das ruckartige Steuerfehler wie im Video mit dem großen Tablet gar nicht möglich wären. Das ist definitiv wert einmal ausprobiert zu werden 🙂

Pinephone: Der Spiele Guide

Real & Legal: Rick & Morty Stream

Alle Rick & Morty Fans sollten man folgenden Link ausprobieren: https://www.adultswim.com/streams/rick-and-morty

Real & Legal: Rick & Morty Stream

Es folgt, wenn man vorsichtig ist mit dem Javascript, eine werbefrei Streamplattform von AdultSwim auf der u.a. Rick & Morty 24/7 gestreamt wird.

(C) Adultswim.com

Man kann sich zwar die Folge nicht aussuchen, aber lange genug warten sollten reichen, da diese im 25 Minuten Zyklus der Reihe nach wiederholt werden.

Damit reiht sich AdultSwim in die Reihe der freien Serienportale wie Southpark.com ein.

Coronachroniken: Übersterblichkeit Ende 2020

Liebe Maskierte,

auch wenn Herr Söder gern der Harte Hund unter den Ministern sein möchte und FFP2 Masken für alle verpflichtend einführt, auch wenn das nichts bringen wird, gibt es natürlich einen Grund dafür.

Coronachroniken: Übersterblichkeit Ende 2020

Für alle die, die immer noch nicht nicht an einen Virus glauben, wir haben da leider in Oktober und November eine leichte Übersterblichkeit, deren Tendenz für Dezember nichts gutes ahnen lässt. Die Quelle ist hier das Bundesamt für Statistik „Destatis“:

Stand: 12.1.2021

Hier noch die für heute gültigen Zahlen im Vergleich:

Sterbefälle,Neuinfektionen,Hospitalisierten Zahlen als Graph

Heute kein SVG, hatte keine Lust LibreOffice hochzufahren 😉

Schon komisch oder, daß auch die Patienten in den Krankenhäusern über Weihnachten rapide weniger wurden. Wie sich Weihnachten auf die Sterbefälle auswirkt, sehen wir in drei Wochen, wenn die Zahlen vom RKI kommen.

 

Fedora: PHP 8 kommt mit Fedora 35

Das Ende von PHP 7 ist eingeläutet. Im April 2022 wird PHP 8 das neue Default PHP für Fedora.

Fedora: PHP 8 kommt mit Fedora 35

Remi Collet hat gestern das offizielle Ende von PHP 7 für Fedora bekannt gegeben. Demnach soll im April 2022 mit Fedora 35 der Wechsel von PHP 7.4 auf PHP 8 vollzogen werden. PHP 7.3 ist dann bereits im EOL und PHP 7.4 nur noch Securitysupport verfügbar.

Sehr zügig kommt dann schon im November 2022 PHP 8.1 für das dann verfügbare Fedora 36 an den Start.

Da sich in PHP 8 einige Tücken bei der Migration verstecken, wurde auf eine extra lange Übergangsphase geachtet. Aus eigener Erfahrung kann ich Euch sagen, daß gerade alte Anwendungen eine Menge Änderungen erfahren müssen, weil grundlegende Konstrukte mit EACH nicht mehr funktionieren.

Wie man auf diese Schnapsidee kommen konnte, habe ich noch nicht in Erfahrung gebracht.

 

ChoronaChroniken: Graphenausfall beim RKI

Wie ich vorhin feststellen durfte, ist die Graphenerzeugung beim RKI heute gestört oder der Zensor ist zum Pinkeln rausgegangen und alles ist plötzlich nicht mehr so schlimm 😉

ChoronaChroniken: Graphenausfall beim RKI

Statt der üblichen Neuinfiziertenzahlen, kam dieser undifferenzierte Wertesatz zum Einsatz:

Die Anfrage ans RKI zwecks Korrektur ist bereits raus.

Update: Da meine Meldung beim RKI schon etwas her ist, habe ich gerade gesehen, daß nach einem Reload nun der richtige Graph angezeigt wurde. Da kommen wir doch noch in den Genuss des Updates 🙂

Chronachroniken: Abfall über Weihnachten

Liebe Maskierte, ich hoffe Ihr hattet wenigstens etwas Spaß über die Feiertage.

Chronachroniken: Abfall über Weihnachten

Um es kurz zu machen: Wieder nichts Neues zu berichten, außer das es in einigen Bundesländern an Impfwilligen mangelt. Der Tagesspiegel hat u.a. über ein Impfzentrum in Berlin berichtet, daß Mangels „Kunden“ wieder geschlossen wurde. Im Saarland sieht es ähnlich aus und auch in meinem direkten Umfeld klingt es nicht nach allzu großer Begeisterung für eine Impfung gegen eine Krankheit mit 99,66% Überlebensrate ( Tendenz steigend ).

Hinweis: Die Abflachung der Kurve wird an mangelnden Tests durch über die Feiertage geschlossenen Arztpraxen, Laboren und Gesundheitsämtern liegen, schließlich ignoriert so ein Corona Ausbeutervirus sämtliche Arbeitszeitregelungen der Menschen. Es liegt definitiv nicht an einem Weihnachtswunder!

Welcome to the other Side

Wer noch nie auf einem Jean-Michel Jarre Konzert war, der hätte Silvester keinen besseren Ort als seinen PC haben können. Es folgt ein Rückblick auf ein virtuelles Konzert, denn während ich diesen schreibe, läuft der Track.

Welcome to the other Side – NYE in virtual Notre Dame

Am 31.12.2020 um 23:25 Uhr war es soweit, das neue Album von Jean-Michel Jarre, der mit seinen 72 Jahren nicht älter als 50 rüberkam, hat in seinem Leben schon so einige spektakuläre Konzerte gegeben, alleine das Wüstenkonzert „Water for Life“ war eine gewaltige Inszenierung für sich 😀 Sein neuestes Projekt „Welcome to the other Side“ steht dem in nichts nach, auch wenn es „nur“ virtuell war.

Rein von den Eckdaten setzt so ein virtuelles Konzert ja neue Maßstäbe. Allein für die visuellen Effekte waren mehrere hundert Menschen verantwortlich. Allerdings denke ich, daß es da auch ein zwei Crews aus der Amiga Demo Szene getan hätten 😉 Über 70.000 Menschen waren Silvester mit dabei und auch beim Capturen auf die Platte zeigte mein Captureprogramm völlig ungewohnte Bandbreiten von 14-15 Mb/s an ( zum Vergleich eine DVD kommt auf maximal 10 Mb/s, von denen man effektiv nur 1.5-2 Mb/s braucht ). Am Ende brachte der vierundfünfzigminütige Mitschnitt 2,7 GB auf die Platte.

Das Audioerlebnis selbst ist mit besseren Lautsprechern am PC ok, kommt aber mit etwas Hilfe von Samsungs Bass-In-Ear-Hörern und QMMP & Pulseaudio Multiband EQ erst so richtig genial rüber. Kleines Beispiel:

Kleiner Beispielaufbau

Auch wenn der Pulseaudio Multiband EQ seinen Job gut macht, wird er von einigen nicht gern gesehen, was ich wiederum nicht verstehen kann.

„Hey, wieso steht da HDMI 2 ???“

Na weil der BenQ-Monitor nicht nur VGA/DVI und HDMI kann, sondern auch einen Kopfhöreranschluss hat und einen guten D/A Wandler dazu. Also Augen auf beim Monitorkauf 😉

Das Konzert kommt wirklich erst gut mit Kopfhörern rüber. Es macht wirklich einen Unterschied, schon weil man nicht von seiner Freundin unterbrochen werden kann 🙂 Bis auf den obligatorischen Laserharfen Track, der wirklich nicht zu den Highlights des Konzerts gehört, bereitet das übrige Konzert einem sehr viel Vergnügen. Ich habe schon diverse Lieblingsstellen gefunden und die beinhalten nicht zwangsweise Remixe seiner Klassiker 😀

Stilistisch erinnert das Konzert ein bisschen an die frühen 2000er Jahre, auch wenn die visuellen Effekte vor der Kulisse von Notre-Dame eher einem hyperaktiven Demo-Szene-Kid entsprungen sind 😉 Vielleicht klingt es deswegen so gut 😉

An dieser Stelle und in diesem Moment findet bereits der zweite Angriff des Tracks auf mein Hörzentrum statt und damit verabschiede ich mich aus dem virtuellen Notre-Dame-Bericht mit den Worten von JM : „Bye,Bye 2020“ wir werden Dich nicht vermissen 😀

PS: mit youtube-dl werdet Ihr das Konzert nicht runterladen können, deswegen selbst Schuld wer’s verpasst hat 😉

 

Pinephone: Firefox Addons wieder gangbar machen

Moin, Moin,

wer auf dem Pinephone alle Fedora Updates eingespielt hat, wird jetzt aktuell keine Addons mehr haben, weil die systemweiten Crypto-Policies dies unterbinden.

Pinephone: Firefox Addons wieder gangbar machen

Wie Ihr diesem früheren Beitrag hier entnehmen könnt:

NSS 3.59 bricht mit SHA-1: Firefox Addons betroffen

Hat die Einstufung von SHA-1 als unsicherer Hash-Algorithmus zur Folge, das die Zertifikate zum Signieren von Firefox Addons nicht mehr akzeptiert werden, aber viele Addons von Mozilla noch nicht mit sha256 signiert wurden. Das nss 3.59.0-3 Paket, das diese Beschränkung temporär wieder aufhebt, hat es leider nicht auf Rawhide geschafft, weswegen Firefoxaddons jetzt nicht mehr funktionieren.

Allerdings kann man da selbst Abhilfe schaffen. Einmal Root werden und folgendes eingeben:

update-crypto-policies –set DEFAULT:FEDORA32
reboot

Nun läuft das Pinephone auf einem etwas entspannteren Modus. Das darf natürlich nicht ewig so bleiben. Wir warten lediglich bis es ein Firefoxupdate gibt, daß die NO-SHA1 Policy für Firefox ignoriert, bis die ganzen Addons neu signiert wurden. In dem Augenblick können wir die DEFAULT Policy wiederherstellen ( update-crypto-policies –set DEFAULT ).

Doch noch einen weiterer Pinephone Beitrag vor Silvester geschafft 🙂